Blockchain güvenlik şirketi CertiK, merkeziyetsiz borsa Merlin'in MAGE token'ının halka satışı sırasında kaybedilen 2 milyon doları karşılamak için bir tazminat planı başlatıyor.
CertiK, Cointelegraph'a yaptığı açıklamada, bir çıkış dolandırıcılığının araştırıldığını ve geriye kalan Merlin ekibinin tazminat planını başlatması için görevlendirdiğini ifade etti
İlk soruşturmalar, kötü niyetli geliştiricilerin Avrupa'da ikamet ettiğini gösteriyor. CertiK, doğrudan müzakerelerde başarısız olduğu takdirde, kolluk kuvvetleriyle iş birliği yapacak.
Blockchain güvenlik şirketi, kötü niyetli geliştiriciden fonların %80'ini iade etmesini talep ederken, %20'sini de white hat ödülü olarak almasını kabul etti.
Firma ek olarak, akıllı sözleşme denetiminin kapsamı dışında kalmasına karşın, özel anahtar ayrıcılıklarından etkilenen kullanıcalara da yardımcı olmayı taahhüt etti.
Merlin, MAGE token satışı sırasında yaklaşık 850.000 dolar değerinde USDC ve likit olmaya bazı token'ları kaybetti. Blockchain verileri, likidite havuzu üzerinde kontrol sağlayan bu istismarcının fonları kolayca çekebildiğini söyledi.
We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
Merlin'in kodunu denetleyen CertiK, potansiyel bir özel anahtar yönetimi sorununa işaret eden ilk bulgularla ilgili konuştu.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Risklerden söz edildi
Kripto topluluğu, CertiK'in denetimini sorgulayarak bunun bir rug pull olabileceğini ifade etti.
Verichains'in kurucusu Thanh Nguyen, Merlin'in kodunda bulunan bir "arka kapıdan" söz etti ve bunun açık bir güvenlik riski olduğunu kaydetti.
3/4 However, in the Merlin code, there is a "backdoor" code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
CertiK, Cointelegraph'a yaptığı açıklamada, denetimlerin potansiyel riskleri ve güvenlik açıklarını belirlese de rug pull gibi kötü niyetli faaliyetleri engelleyemeyeceğini dile getirdi.
CertiK, tazminat planı hakkında yeni güncellemeler yapacağını ifade etti.