CertiK lanzará un plan de compensación por un exploit de USD 2 millones que afectó al exchange descentralizado Merlin
La empresa de seguridad Web3 insta al desarrollador malintencionado a devolver el 80% de los fondos robados y ofrece el 20% como recompensa de hacker ético
En una declaración a Cointelegraph el 26 de abril, CertiK reiteró que está investigando la estafa de salida y también ha reclutado al equipo restante de Merlin para iniciar el plan de compensación. La empresa dijo:
“Las primeras investigaciones indican que los desarrolladores deshonestos están afincados en Europa, y CertiK colaborará con las autoridades policiales para localizarlos si la negociación directa no tiene éxito”.
La empresa de seguridad blockchain insta al desarrollador deshonesto a devolver el 80% de los fondos robados, concediendo el 20% restante como recompensa de hacker ético.
La firma también señaló que los privilegios de clave privada están “comprometidos a ayudar a los usuarios afectados” a pesar de que están fuera del alcance de una auditoría de contratos inteligentes.
Merlin perdió alrededor de USD 850,000 en USD Coin USDC
€0.91 y algunos tokens más relativamente ilíquidos el 26 de abril durante su venta pública de tokens MAGE de tres días sin ningún límite estimado. Datos de la cadena de bloques sugieren que un atacante con control sobre el pool de liquidez pudo desviar fácilmente los fondos.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
Investigamos un poco sobre los contratos inteligentes de Merlin e identificamos el código malicioso responsable de la fuga de fondos.
Estas dos líneas de código en la función de inicialización están esencialmente otorgando aprobación para que la dirección feeTo transfiera un ilimitado (type(uint256).max)
CertiK, que auditó el código de Merlin, respondió con sus conclusiones iniciales apuntando a un “posible problema de gestión de claves privadas”.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
Estamos investigando activamente el incidente de @TheMerlinDEX. Los resultados iniciales apuntan a un posible problema de gestión de claves privadas en lugar de un exploit como causa raíz.
Aunque las auditorías no pueden evitar los problemas de clave privada, siempre destacamos las mejores prácticas a los proyectos.
-- Publicidad --
La comunidad cripto en Twitter cuestionó la auditoría de CertiK, dando a entender que podría haberse tratado de un rug pull.
El fundador de Verichains, Thanh Nguyen, aludió a una “puerta trasera” presente en el código de Merlin, afirmando que es un “claro riesgo para la seguridad, pues no hay ningún caso de uso que requiera su aprobación”.
3/4 However, in the Merlin code, there is a "backdoor" code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
Sin embargo, en el código de Merlin, hay un código de “puerta trasera” (L87-88) que permite que el feeTo de MerlinFactory transfiera todos los activos del par, además del fee en la función de intercambio. Esta puerta trasera es un claro riesgo para la seguridad, ya que no hay ningún caso de uso que requiera su aprobación.
“Si bien las auditorías pueden identificar posibles riesgos y vulnerabilidades, no pueden evitar actividades maliciosas por parte de desarrolladores deshonestos, como tirones de alfombra”, dijo CertiK en un comunicado a Cointelegraph. “Animamos a los usuarios a buscar proyectos con una ‘Insignia KYC’ como una capa adicional de seguridad, lo que significa que el proyecto ha pasado voluntariamente por un proceso de investigación de KYC.”
La firma explicó que hacerlo puede ayudar a reducir y mitigar el riesgo de amenazas internas como los rug pulls.
CertiK dijo que continuaría proporcionando actualizaciones sobre su plan de compensación y la investigación en curso.
¡Asegúrese de no perderse ninguna noticia importante relacionada con Criptomonedas! Siga nuestro feed de noticias de la forma que prefieras; a través de Twitter, Facebook, Telegram, RSS o correo electrónico (desplácese hacia abajo hasta la parte inferior de esta página para suscribirse). Bitcoin nunca duerme. Tampoco nosotros.
Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de CriptomonedaseICO, y no deben ser atribuidas a, CriptomonedaseICO.
Síguenos en Telegram // www.criptomonedaseico.com
Los comentarios están cerrados.