Блокчейн-охранная фирма CertiK и децентрализованная биржа zk-Sync (DEX) Merlin работают над планом возмещения пользователям, пострадавшим от недавнего эксплойта, который отнял у последнего почти 2 миллиона долларов.
В четверг Merlin сообщила, что инцидент, который, по общему мнению, был эксплойтом, на самом деле был мошенничеством нескольких членов ее внутренней команды разработчиков, которые манипулировали кодом протокола для достижения своей цели.
CertiK и Merlin выплатят компенсацию жертвам
Напомним, что пул ликвидности Merlin был исчерпан в среду, через несколько часов после того, как CertiK провела аудит кода протокола. DEX проводил публичную продажу своего собственного токена MAGE, когда злоумышленник выполнил взлом.
Как сообщалось ранее, CertiK сказал, что анализ события показал, что к инциденту могла привести проблема с управлением закрытым ключом. Охранная фирма сообщила, что в ходе аудита, проведенного в понедельник, она указала на риск централизации и рекомендовала Merlin переключиться на децентрализованные механизмы, чтобы избежать сбоев в работе отдельных ключей.
После дальнейшего анализа Мерлин и CertiK обнаружили, что взлом был инсайдерской работой команды протокола. Команда разработчиков внедрила функцию call-action, которая дала им власть над контрактами и всеми торговыми парами в пулах ликвидности.
Разработчики также смогли манипулировать интерфейсными контрактами Merlin и веб-хостингом, что позволило им выполнить несколько сетевых транзакций, которые сократили публичную продажу.
Нашим неизменным приоритетом является возврат всех средств пострадавшим сторонам и участникам платформы Merlin при первой возможности. С этой целью мы работаем вместе с @Certik (Team DOXX из Плана восстановления Prospero и Alatar), чтобы возместить ущерб всем пострадавшим пользователям.
— Мерлин (@TheMerlinDEX) 26 апреля 2023
Вознаграждение в размере 20% от White Hat
Пока Merlin и CertiK разрабатывают план компенсации, они также проинформировали соответствующие органы об инциденте и местонахождении технической команды мошенников. Команда разработчиков была отслежена в Сербии, Европа, и местные власти были уведомлены.
Протокол также нанял сетевых аналитиков для мониторинга движения средств. Украденные активы были отслежены на двух кошельках и все еще находились там на момент написания статьи.
Тем временем CertiK предложила разработчикам 20%-ную премию white hat, призывая их принять ее, чтобы избежать гнева закона.
" 
