شرکت امنیتی بلاک چین CertiK در حال راهاندازی یک طرح جبرانی با پلتفرم مقیاسپذیری لایه ۲ اتریوم zkSync Era است تا ۲ میلیون دلار از دست رفته طی فروش عمومی توکنهای MAGE صرافی مرلین را پوشش دهد.
در بیانیهای به Cointelegraph در 26 آوریل، CertiK تکرار کرد که در حال بررسی کلاهبرداری خروج است و همچنین تیم مرلین باقیمانده را برای آغاز طرح غرامت استخدام کرده است. آن گفت:
“تحقیقات اولیه نشان می دهد که توسعه دهندگان سرکش در اروپا مستقر هستند و CertiK با مقامات مجری قانون برای ردیابی آنها در صورت عدم موفقیت مذاکره مستقیم همکاری خواهد کرد.”
شرکت امنیت بلاک چین از توسعهدهنده سرکش میخواهد تا ۸۰ درصد وجوه دزدیده شده را بازگرداند و ۲۰ درصد آن را به عنوان جایزه کلاه سفید واگذار کند.
این شرکت همچنین اشاره کرد که امتیازات کلید خصوصی «متعهد به کمک به کاربران آسیبدیده» است، علیرغم اینکه خارج از محدوده ممیزی قرارداد هوشمند است.
مرلین حدود 850000 دلار سکه USD را از دست داد (USDC) و چند توکن نسبتاً غیر نقدی دیگر در 26 آوریل در طی سه روز فروش عمومی توکنهای MAGE بدون هیچ سقفی. دادههای بلاک چین نشان میدهد که یک بهرهبردار با کنترل بر استخر نقدینگی توانسته است به راحتی وجوه را جذب کند.
ما تحقیقاتی در مورد قراردادهای هوشمند مرلین انجام دادیم و کد مخربی را که مسئول تخلیه وجوه بود شناسایی کردیم.
این دو خط کد در تابع مقداردهی اولیه، اساساً تأییدیه آدرس feeTo برای انتقال نامحدود (نوع(uint256).max) را می دهند. pic.twitter.com/mIksh4HkhB
— eZKalibur (@zkaliburDEX) 26 آوریل 2023
CertiK که کد مرلین را ممیزی کرد، پاسخ داد با یافته های اولیه خود به یک “مسئله مدیریت کلید خصوصی بالقوه” اشاره می کند.
ما به طور فعال در حال بررسی این موضوع هستیم @TheMerlinDEX حادثه. یافتههای اولیه به یک مشکل بالقوه مدیریت کلید خصوصی به جای یک سوء استفاده به عنوان علت اصلی اشاره میکنند.
در حالی که ممیزی نمی تواند از مسائل کلید خصوصی جلوگیری کند، ما همیشه بهترین روش ها را برای پروژه ها برجسته می کنیم.
اگر هر خطایی باید…
— CertiK (@CertiK) 26 آوریل 2023
توییتر کریپتو حسابرسی CertiK را زیر سوال برد. دلالت دارد که ممکن است کشش فرش وجود داشته باشد.
بنیانگذار Verichains، Thanh Nguyen به یک “درپشتی” موجود در کد مرلین اشاره کرد و گفت که این یک “خطر امنیتی واضح است زیرا هیچ مورد استفاده ای وجود ندارد که نیاز به تایید آن داشته باشد.”
3/4 با این حال، در کد مرلین، یک کد “درپشتی” (L87-88) وجود دارد که به feeTo MerlinFactory اجازه می دهد تا علاوه بر کارمزد در تابع swap، تمام دارایی های جفت را منتقل کند. این درب پشتی یک خطر امنیتی واضح است زیرا هیچ موردی وجود ندارد که نیاز به تایید آن داشته باشد. pic.twitter.com/HAnwZT27ZS
– تان نگوین (@redragonvn) 26 آوریل 2023
CertiK در بیانیهای به Cointelegraph گفت: «در حالی که ممیزیها میتوانند خطرات و آسیبپذیریهای بالقوه را شناسایی کنند، اما نمیتوانند از فعالیتهای مخرب توسعهدهندگان سرکش مانند قالیکشی جلوگیری کنند». ما کاربران را تشویق میکنیم که به دنبال پروژههایی با «نشان KYC» بهعنوان یک لایه امنیتی اضافی باشند، که نشان میدهد پروژه بهطور داوطلبانه فرآیند بررسی KYC را طی کرده است.»
مربوط: Ordinals Finance قالی 1 میلیون دلاری انجام داده است: CertiK
این شرکت توضیح داد که انجام این کار می تواند به کاهش و کاهش خطر تهدیدات داخلی مانند کشیدن فرش کمک کند.
CertiK گفت که به ارائه به روز رسانی در مورد طرح جبران خسارت و تحقیقات در حال انجام خود ادامه خواهد داد.
