CertiK triển khai kế hoạch trả thưởng cho việc khai thác Merlin DEX trị giá 2 triệu USD
Công ty bảo mật Web3 kêu gọi nhà phát triển lừa đảo trả lại 80% số tiền bị đánh cắp và cung cấp 20% dưới dạng tiền thưởng mũ trắng.
Công ty bảo mật chuỗi khối CertiK đang đưa ra một kế hoạch bồi thường để bù đắp 2 triệu USD bị mất trong quá trình bán công khai mã thông báo MAGE của sàn giao dịch phi tập trung Merlin.
Trong một tuyên bố vào ngày 26 tháng 4, CertiK nhắc lại rằng họ đang điều tra vụ lừa đảo thoát và cũng đã tranh thủ nhóm Merlin còn lại để bắt đầu kế hoạch bồi thường. Nó nói rằng:
“Các cuộc điều tra ban đầu chỉ ra rằng các nhà phát triển giả mạo có trụ sở tại Châu Âu và CertiK sẽ hợp tác với các cơ quan thực thi pháp luật để truy tìm họ nếu đàm phán trực tiếp không thành công.”
Công ty bảo mật chuỗi khối đang kêu gọi nhà phát triển lừa đảo trả lại 80% số tiền bị đánh cắp, thừa nhận 20% dưới dạng tiền thưởng mũ trắng.
Công ty cũng chỉ ra rằng các đặc quyền khóa riêng tư “cam kết hỗ trợ người dùng bị ảnh hưởng” mặc dù chúng nằm ngoài phạm vi kiểm toán hợp đồng thông minh.
Merlin bị mất khoảng 850.000 USD Coin và một số mã thông báo tương đối kém thanh khoản hơn vào ngày 26 tháng 4 trong đợt bán công khai mã thông báo MAGE kéo dài ba ngày mà không có bất kỳ giới hạn cứng nào. Dữ liệu chuỗi khối cho thấy rằng một kẻ khai thác có quyền kiểm soát nhóm thanh khoản có thể dễ dàng hút tiền.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
CertiK, đã kiểm tra mã của Merlin, đã phản hồi với những phát hiện ban đầu chỉ ra “vấn đề quản lý khóa riêng tiềm ẩn”.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
Twitter về tiền điện tử đã đặt câu hỏi về cuộc kiểm toán của CertiK, ngụ ý rằng có thể có một sự cố kéo dài.
Người sáng lập Verichains, Thanh Nguyen, đã ám chỉ đến một “cửa hậu” có trong mã của Merlin, nói rằng đó là một “rủi ro bảo mật rõ ràng vì không có trường hợp sử dụng nào cần sự chấp thuận của nó.”
3/4 However, in the Merlin code, there is a "backdoor" code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
CertiK cho biết trong một tuyên bố: “Mặc dù kiểm toán có thể xác định các rủi ro và lỗ hổng tiềm ẩn, nhưng chúng không thể ngăn chặn các hoạt động độc hại từ phía các nhà phát triển giả mạo, chẳng hạn như kéo thảm”. “Chúng tôi khuyến khích người dùng tìm kiếm các dự án có ‘Huy hiệu KYC’ như một lớp bảo mật bổ sung, biểu thị rằng dự án đã tự nguyện trải qua quy trình kiểm tra KYC.”
Công ty giải thích rằng làm như vậy có thể giúp giảm bớt và giảm thiểu rủi ro do các mối đe dọa từ nội bộ chẳng hạn như kéo thảm.
CertiK cho biết họ sẽ tiếp tục cung cấp thông tin cập nhật về kế hoạch bồi thường và cuộc điều tra đang diễn ra.
Cập nhật: Bài viết này đã được cập nhật để phản ánh rằng chỉ có CertiK đề xuất kế hoạch bồi thường cho việc khai thác Merlin DEX.
