Разработчики децентрализованной биржи (DEX) Merlin на базе zkSync Era раскрыли детали эксплойта на сумму ~$2 млн и заявили о планах возмещения потерь пользователей.
Merlin's Post-Mortem it is with deepest regret that we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform. In the early hours of this morning the several members of the Back-End Team drained all of our Contracts.— Merlin (@TheMerlinDEX) April 26, 2023
26 апреля основные пулы ликвидности только что запущенной платформы были опустошены.
Команда заявила об эксплойте и рекомендовала пользователям отозвать одобрения для всех смарт-контрактов. Подробностей в Merlin не раскрыли.
Пользователи обратили внимание, что 24 апреля, накануне запуска DEX, специалисты CertiK завершили повторный аудит кода платформы. Ряд экспертов обнаружил в ПО уязвимость, которая потенциально позволяла вывести все средства из пулов. Некоторые пользователи заподозрили реализацию проектом мошеннической схемы rug-pull.
В Merlin заявили, что средства пользователей вывели несколько членов технической команды.
"Они провели несколько ончейн-транзакций, чтобы истощить пулы, произвести продажу и манипулировать нашими фронтенд-контрактами. Это было сделано через функцию, которая позволяла осуществить вызов для всех пар на платформе", — уточнили представители биржи.
По их словам, имело место "явное упущение в отношении всеобъемлющей власти" этой опции над всеми пулами со стороны проводивших аудит специалистов CertiK. Однако в Merlin также признали, что разработчики бэкенда имели доступ к коду и могли внести изменения.
We had submitted all intended contracts to be used on our platform to Certik who carried out a full audit. However there has been a clear oversight on the overarching power the _owner had of the pools.— Merlin (@TheMerlinDEX) April 26, 2023
Команда биржи опубликовала имеющиеся у них данные подозреваемых в мошенничестве программистов в виде аккаунтов на GitHub. Биржа обратилась за содействием в расследовании к властям Сербии, где, по ее данным, проживает эта группа.
Back-End Technical Team Committers:https://t.co/mArANNfOsfhttps://t.co/JXG4E8wpnNhttps://t.co/iCc761ad8ihttps://t.co/m4JFK9bSl3— Merlin (@TheMerlinDEX) April 26, 2023
Представители Merlin также отметили, что над планом компенсации работают вместе с CertiK. В компании-аудиторе подтвердили возможность участия в выплате возмещения.
"Мы призываем разработчиков-мошенников принять 20% вознаграждения в качестве белых хакеров. Несмотря на то, что мы подняли проблемы с привилегиями закрытого ключа в отчете, мы хотим помочь пострадавшим и полны решимости выследить тех, кто стоит за этим скамом", — заявили в CertiK.
2/ We urge the rogue developers to accept a 20% white hat bounty. Although we raised the private key privilege issues in the audit report, we want to assist impacted users. We are determined to track down those behind this rug pull. More compensation details will be released.— CertiK (@CertiK) April 26, 2023
Напомним, в апреле укравший около $9 млн из пула ликвидности DEX SafeMoon на BNB Chain злоумышленник согласился вернуть 80% средств за прекращение преследования.
