La firma de seguridad blockchain CertiK ha lanzado un plan de compensación para cubrir los $2 millones perdidos durante una venta pública del token MAGE en el intercambio descentralizado Merlin.
En una declaración a Cointelegraph el 26 de abril, CertiK reiteró que está investigando la estafa de salida y también trajo al equipo restante de Merlin para comenzar el plan de compensación. Decía:
«Las investigaciones iniciales indican que los desarrolladores deshonestos tienen su sede en Europa y CertiK cooperará con las fuerzas del orden para localizarlos si las negociaciones directas no tienen éxito».
La compañía de seguridad de blockchain exige que el desarrollador deshonesto devuelva el 80% de los fondos robados, reconociendo el 20% como una recompensa de sombrero blanco.
La firma también señaló que los privilegios de clave privada están «comprometidos para ayudar a los usuarios afectados», aunque están fuera del alcance de una auditoría de contrato inteligente.
Merlin perdió alrededor de $ 850,000 en USD Coin (USDC) y algunos tokens relativamente poco líquidos el 26 de abril durante su venta pública de tokens MAGE de tres días sin límite estricto. Los datos de Blockchain sugieren que un explotador con control sobre el fondo de liquidez pudo desviar los fondos fácilmente.
Hemos investigado los contratos inteligentes de Merlin e identificado el código malicioso responsable del desvío de fondos.
Estas dos líneas de código en la función de inicialización esencialmente brindan aprobación para la dirección feeTo para transferir un número ilimitado (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur (@zkaliburDEX) 26 de abril de 2023
CertiK, que audita el código de Merlin, contestada con sus hallazgos iniciales que apuntan a un «problema potencial con la gestión de claves privadas».
Estamos investigando activamente @TheMerlinDEX accidente. Los hallazgos iniciales apuntan a un problema potencial con la gestión de claves privadas en lugar de un exploit como la causa principal.
Aunque las auditorías no pueden evitar problemas de claves privadas, siempre destacamos las mejores prácticas para los proyectos.
Si alguien comete una falta…
— CertiK (@CertiK) 26 de abril de 2023
Crypto Twitter cuestionó la auditoría de CertiK, reticente que puede haber un tirón en la alfombra.
El fundador de Verichains, Thanh Nguyen, insinuó una «puerta trasera» presente en el código de Merlin y dijo que era «un claro riesgo de seguridad ya que no hay ningún caso de uso que requiera su aprobación».
3/4 Sin embargo, hay un código de «puerta trasera» en el código de Merlin (L87-88) que permite que feeTo de MerlinFactory transfiera todos los activos del par, además de feeTo en la función de intercambio. Este backdoor supone un claro riesgo de seguridad porque no hay ningún caso de uso que requiera su aprobación. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) 26 de abril de 2023
«Si bien las auditorías pueden identificar riesgos y vulnerabilidades potenciales, no pueden prevenir actividades maliciosas por parte de desarrolladores deshonestos, como el robo de alfombras», dijo CertiK en un comunicado a Cointelegraph. «Animamos a los usuarios a buscar proyectos con una ‘insignia KYC’ como una capa adicional de seguridad, lo que significa que el proyecto ha pasado voluntariamente por un proceso de verificación KYC».
Conectado: Ordinals Finance realizó un sorteo de alfombras de $ 1 millón: CertiK
La firma explicó que esto puede ayudar a reducir y mitigar el riesgo de amenazas internas, como tirar de alfombras.
CertiK dijo que continuará brindando actualizaciones sobre su plan de compensación y la investigación en curso.
Este artículo se ha actualizado para reflejar que solo CertiK ha propuesto un plan de compensación para el exploit Merlin DEX.
