Blockchain güvenlik firması CertiK, merkezi olmayan borsa Merlin’in MAGE tokeninin halka satışı sırasında kaybedilen 2 milyon doları karşılamak için bir tazminat planı başlatıyor.
26 Nisan’da Cointelegraph’a yaptığı açıklamada CertiK, çıkış dolandırıcılığını araştırdığını ve geri kalan Merlin ekibini tazminat planını başlatması için görevlendirdiğini yineledi. O dedi:
“İlk soruşturmalar, haydut geliştiricilerin Avrupa’da yerleşik olduğunu gösteriyor ve CertiK, doğrudan müzakere başarısız olursa onları bulmak için kolluk kuvvetleriyle işbirliği yapacak.”
Blockchain güvenlik şirketi, haydut geliştiriciyi çalınan fonların %80’ini iade etmeye çağırıyor ve %20’sini beyaz şapka ödülü olarak kabul ediyor.
Firma ayrıca, akıllı sözleşme denetiminin kapsamı dışında olmasına rağmen, özel anahtar ayrıcalıklarının “etkilenen kullanıcılara yardımcı olmayı taahhüt ettiğini” belirtti.
Merlin yaklaşık 850.000$ değerinde USD Coin kaybetti (USDC) ve 26 Nisan’da üç günlük MAGE token halka açık satışı sırasında herhangi bir hard cap olmadan nispeten likit olmayan bazı tokenler. Blockchain verileri, likidite havuzu üzerinde kontrolü olan bir istismarcının fonları kolayca çekebildiğini gösteriyor.
Merlin akıllı sözleşmeleri hakkında biraz araştırma yaptık ve fonların çekilmesinden sorumlu olan kötü amaçlı kodu belirledik.
Başlatma işlevindeki bu iki kod satırı, temelde, ücret adresine sınırsız (tip(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur (@zkaliburDEX) 26 Nisan 2023
Merlin’in kodunu denetleyen CertiK, cevap verdi ilk bulguları “potansiyel bir özel anahtar yönetimi sorununa” işaret ediyor.
Aktif olarak araştırıyoruz @TheMerlinDEX olay. İlk bulgular, temel neden olarak bir istismardan ziyade potansiyel bir özel anahtar yönetimi sorununa işaret ediyor.
Denetimler özel anahtar sorunlarını engelleyemese de, projeler için her zaman en iyi uygulamaları vurgularız.
Herhangi bir faul olursa…
— CertiK (@CertiK) 26 Nisan 2023
Crypto Twitter, CertiK denetimini sorguladı, ima eden kilim çekişi olabilir.
Verichains’in kurucusu Thanh Nguyen, Merlin’in kodunda bulunan bir “arka kapı”dan söz etti ve bunun “onun onayını gerektiren bir kullanım durumu olmadığı için açık bir güvenlik riski” olduğunu söyledi.
3/4 Ancak Merlin kodunda, takas fonksiyonundaki ücrete ek olarak, ücretin MerlinFactory çiftindeki tüm varlıkları transfer etmesine izin veren bir “arka kapı” kodu (L87-88) vardır. Bu arka kapı, onayını gerektiren bir kullanım durumu olmadığı için açık bir güvenlik riskidir. pic.twitter.com/HANwZT27ZS
— Thanh Nguyen (@redragonvn) 26 Nisan 2023
CertiK, Cointelegraph’a yaptığı açıklamada, “Denetimler potansiyel riskleri ve güvenlik açıklarını belirleyebilse de, hileli geliştiricilerin rug pulls gibi kötü niyetli faaliyetlerini engelleyemez.” Dedi. “Kullanıcıları, ek bir güvenlik katmanı olarak, projenin gönüllü olarak bir KYC inceleme sürecinden geçtiğini gösteren ‘KYC Rozeti’ olan projeleri aramaya teşvik ediyoruz.”
İlgili: CertiK: Ordinals Finance, 1 milyon dolarlık bir halı çekme işlemi gerçekleştirdi
Firma, bunu yapmanın halı çekme gibi içeriden gelen tehdit riskini azaltmaya ve hafifletmeye yardımcı olabileceğini açıkladı.
CertiK, tazminat planı ve devam eden soruşturma hakkında güncellemeler sağlamaya devam edeceğini söyledi.
Bu makale, yalnızca CertiK’in Merlin DEX istismarı için bir tazminat planı önerdiğini yansıtacak şekilde güncellendi.