La firma de seguridad blockchain, CertiK, está lanzando un plan de compensación para cubrir los USD 2 millones perdidos durante una venta pública del token MAGE del exchange descentralizado Merlin.
En una declaración a Cointelegraph el 26 de abril, CertiK reiteró que está investigando la estafa de salida y también ha reclutado al equipo restante de Merlin para iniciar el plan de compensación. La empresa dijo:
"Las primeras investigaciones indican que los desarrolladores deshonestos están afincados en Europa, y CertiK colaborará con las autoridades policiales para localizarlos si la negociación directa no tiene éxito".
La empresa de seguridad blockchain insta al desarrollador deshonesto a devolver el 80% de los fondos robados, concediendo el 20% restante como recompensa de hacker ético.
La firma también señaló que los privilegios de clave privada están "comprometidos a ayudar a los usuarios afectados" a pesar de que están fuera del alcance de una auditoría de contratos inteligentes.
Merlin perdió alrededor de USD 850,000 en USD Coin (USDC) y algunos tokens más relativamente ilíquidos el 26 de abril durante su venta pública de tokens MAGE de tres días sin ningún límite estimado. Datos de la cadena de bloques sugieren que un atacante con control sobre el pool de liquidez pudo desviar fácilmente los fondos.
We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
Investigamos un poco sobre los contratos inteligentes de Merlin e identificamos el código malicioso responsable de la fuga de fondos.
Estas dos líneas de código en la función de inicialización están esencialmente otorgando aprobación para que la dirección feeTo transfiera un ilimitado (type(uint256).max)
CertiK, que auditó el código de Merlin, respondió con sus conclusiones iniciales apuntando a un "posible problema de gestión de claves privadas".
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Estamos investigando activamente el incidente de @TheMerlinDEX. Los resultados iniciales apuntan a un posible problema de gestión de claves privadas en lugar de un exploit como causa raíz.
Aunque las auditorías no pueden evitar los problemas de clave privada, siempre destacamos las mejores prácticas a los proyectos.
La comunidad cripto en Twitter cuestionó la auditoría de CertiK, dando a entender que podría haberse tratado de un rug pull.
El fundador de Verichains, Thanh Nguyen, aludió a una "puerta trasera" presente en el código de Merlin, afirmando que es un "claro riesgo para la seguridad, pues no hay ningún caso de uso que requiera su aprobación".
3/4 However, in the Merlin code, there is a "backdoor" code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
Sin embargo, en el código de Merlin, hay un código de "puerta trasera" (L87-88) que permite que el feeTo de MerlinFactory transfiera todos los activos del par, además del fee en la función de intercambio. Esta puerta trasera es un claro riesgo para la seguridad, ya que no hay ningún caso de uso que requiera su aprobación.
"Si bien las auditorías pueden identificar posibles riesgos y vulnerabilidades, no pueden evitar actividades maliciosas por parte de desarrolladores deshonestos, como tirones de alfombra", dijo CertiK en un comunicado a Cointelegraph. "Animamos a los usuarios a buscar proyectos con una 'Insignia KYC' como una capa adicional de seguridad, lo que significa que el proyecto ha pasado voluntariamente por un proceso de investigación de KYC."
La firma explicó que hacerlo puede ayudar a reducir y mitigar el riesgo de amenazas internas como los rug pulls.
CertiK dijo que continuaría proporcionando actualizaciones sobre su plan de compensación y la investigación en curso.
Actualización: Este artículo se ha actualizado para reflejar que sólo CertiK había propuesto un plan de compensación para el exploit Merlin DEX.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.