A empresa de segurança blockchain CertiK está lançando um plano de compensação para cobrir os US$ 2 milhões perdidos durante a venda pública do token MAGE da exchange descentralizada Merlin.

Em uma declaração à Cointelegraph em 26 de abril, a CertiK reiterou que está investigando o golpe de saída e também recrutou a equipe restante da Merlin para iniciar o plano de compensação. A empresa disse:

"As investigações iniciais indicam que os desenvolvedores desonestos estão baseados na Europa, e a CertiK colaborará com as autoridades policiais para rastreá-los caso a negociação direta não seja bem-sucedida."

A empresa de segurança blockchain está instando o desenvolvedor desonesto a devolver 80% dos fundos roubados, concedendo 20% como uma recompensa de white hat.

A empresa também destacou que os privilégios de chave privada estão "comprometidos em ajudar os usuários afetados", apesar de estarem fora do escopo de uma auditoria de contrato inteligente.

Merlin perdeu cerca de US$ 850.000 em USD Coin (USDC) e alguns tokens mais ilíquidos em 26 de abril durante a venda pública de três dias do token MAGE sem um limite máximo. Dados da blockchain sugerem que um explorador com controle sobre o pool de liquidez conseguiu desviar facilmente os fundos.

Fizemos algumas pesquisas nos contratos inteligentes da Merlin e identificamos o código malicioso responsável pelo escoamento dos fundos.

Essas duas linhas de código na função inicializar estão essencialmente concedendo aprovação para o endereço feeTo transferir um valor ilimitado (type(uint256).max)… pic.twitter.com/mIksh4HkhB

— eZKalibur ∎ (@zkaliburDEX) 26 de abril de 2023

A CertiK, que auditou o código da Merlin, respondeu com suas descobertas iniciais apontando para um "possível problema de gerenciamento de chave privada".

Estamos investigando ativamente o incidente do @TheMerlinDEX. As descobertas iniciais apontam para um possível problema de gerenciamento de chave privada em vez de uma exploração como causa raiz.

Embora as auditorias não possam evitar problemas de chave privada, sempre destacamos as melhores práticas aos projetos.

Se houver algum problema...

— CertiK (@CertiK) 26 de abril de 2023

Usuários do Twitter questionaram a auditoria da CertiK, insinuando que poderia haver uma puxada de tapete.

O fundador da Verichains, Thanh Nguyen, aludiu a uma "porta dos fundos" presente no código da Merlin, dizendo que é um "risco de segurança claro, pois não há caso de uso que exija sua aprovação".

3/4 No entanto, no código do Merlin, há um código de "porta dos fundos" (L87-88) que permite ao feeTo do MerlinFactory transferir todos os ativos do par, além da taxa na função de troca. Esta porta dos fundos é um risco claro de segurança, já que não há nenhum caso de uso que exija sua aprovação. pic.twitter.com/HAnwZT27ZS

— Thanh Nguyen (@redragonvn) 26 de abril de 2023

"Auditorias podem identificar riscos e vulnerabilidades potenciais, mas não podem prevenir atividades maliciosas por parte de desenvolvedores desonestos, como golpes de saída", disse CertiK em um comunicado ao Cointelegraph. "Incentivamos os usuários a procurar projetos com um 'Selo KYC' como uma camada adicional de segurança, significando que o projeto passou voluntariamente por um processo de verificação KYC."

A empresa explicou que isso pode ajudar a reduzir e mitigar o risco de ameaças internas, como golpes de saída.

CertiK afirmou que continuará fornecendo atualizações sobre seu plano de compensação e investigação em andamento.

Este artigo foi atualizado para refletir que apenas a CertiK havia proposto um plano de compensação para a exploração do Merlin DEX.

VEJA MAIS: