Công ty bảo mật blockchain CertiK đang đưa ra một kế hoạch bồi thường để bù đắp 2 triệu đô la bị mất trong quá trình public sale token MAGE của sàn giao dịch phi tập trung Merlin.
DEX Merlin trên zkSync bị hack hơn 1 triệu đô la trong đợt public sale dù đã được kiểm toán
Trong một tuyên bố vào ngày 26 tháng 4, CertiK nhắc lại rằng họ đang điều tra vụ lừa đảo và cũng đã cộng tác với những thành viên còn lại của nhóm Merlin để bắt đầu kế hoạch bồi thường:
“Các cuộc điều tra ban đầu chỉ ra rằng những nhà phát triển giả mạo có trụ sở tại Châu Âu, và CertiK sẽ hợp tác với các cơ quan thực thi pháp luật để truy tìm họ nếu đàm phán trực tiếp không thành công.”
Công ty bảo mật blockchain đang kêu gọi nhà phát triển lừa đảo trả lại 80% số tiền bị đánh cắp, châp nhận 20% dưới dạng tiền thưởng mũ trắng.
Công ty cũng “cam kết hỗ trợ người dùng bị ảnh hưởng” mặc dù chúng nằm ngoài phạm vi kiểm toán hợp đồng thông minh.
Merlin bị mất khoảng 850.000 USDC và một số token tương đối kém thanh khoản hơn vào ngày 26 tháng 4 trong đợt public sale MAGE kéo dài ba ngày mà không có hard cap. Dữ liệu blockchain cho thấy kẻ khai thác có quyền kiểm soát pool thanh khoản, giúp hắn dễ dàng hút tiền.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
CertiK, đã kiểm tra mã của Merlin, đã phản hồi với những phát hiện ban đầu chỉ ra “vấn đề tiềm ẩn từ quản lý private keys”.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
CertiK cho biết:
“Mặc dù kiểm toán có thể xác định các rủi ro và lỗ hổng tiềm ẩn, nhưng không thể ngăn chặn các hoạt động độc hại từ phía các nhà phát triển giả, như hoạt động rug pull. Chúng tôi khuyến khích người dùng tìm kiếm các dự án đã KYC như một lớp bảo mật bổ sung, biểu thị rằng dự án đã tự nguyện trải qua quy trình kiểm tra KYC.”
Công ty giải thích rằng làm như vậy có thể giúp giảm bớt và giảm thiểu rủi ro do các mối đe dọa từ nội bộ. CertiK sẽ tiếp tục cung cấp thông tin cập nhật về kế hoạch bồi thường và cuộc điều tra đang diễn ra.
Nguồn: Cointelegraph
Về chúng tôi
Cryptoholic – Invest crypto with you
