Công ty bảo mật chuỗi khối CertiK và sàn giao dịch phi tập trung zk-Sync (DEX) Merlin đang thực hiện kế hoạch bồi thường cho những người dùng bị ảnh hưởng bởi một vụ khai thác gần đây gây thiệt hại gần 2 triệu USD.
Merlin đã tiết lộ hôm thứ Năm rằng vụ việc, được nhiều người cho là một vụ khai thác, thực ra là công việc của một số thành viên lừa đảo trong nhóm phát triển phụ trợ của họ, những người đã thao túng mã của giao thức để đạt được mục tiêu của họ.
CertiK và Merlin bồi thường cho nạn nhân
Hãy nhớ lại rằng nhóm thanh khoản của Merlin đã cạn kiệt vào thứ Tư, vài giờ sau khi CertiK kiểm tra mã giao thức. DEX đang bán công khai mã thông báo gốc của nó, mã thông báoMAGE, khi kẻ tấn công thực hiện vụ hack.
BẰNG khoai tây được mã hóa Theo các báo cáo, CertiK cho biết phân tích vụ việc chỉ ra rằng các vấn đề về quản lý khóa cá nhân có thể đã dẫn đến vụ việc. Công ty bảo mật tiết lộ rằng họ đã xác định được các rủi ro tập trung trong một cuộc kiểm tra được tiến hành vào thứ Hai và khuyến nghị Merlin chuyển sang cơ chế phi tập trung để tránh lỗi một điểm duy nhất.
Sau khi phân tích sâu hơn, Merlin và CertiK phát hiện ra rằng vụ hack là từ những người trong cuộc trong nhóm giao thức. Nhóm phụ trợ đã triển khai chức năng gọi cho phép họ kiểm soát các hợp đồng và tất cả các cặp giao dịch trong nhóm thanh khoản.
Các nhà phát triển cũng có thể thao túng các hợp đồng giao diện người dùng và máy chủ mạng của Merlin, cho phép họ thực hiện một số giao dịch trực tuyến làm cạn kiệt đợt bán công khai.
Ưu tiên vững chắc của chúng tôi là hoàn trả sớm tất cả các khoản tiền cho các bên bị ảnh hưởng và những người tham gia trên nền tảng Merlin.Để kết thúc này, chúng tôi đang làm việc cùng nhau @Giấy chứng nhận (Nhóm DOXX của Chương trình khôi phục Prospero và Alatar) Bồi thường cho tất cả người dùng bị ảnh hưởng.
– Merlin (@TheMerlinDEX) Ngày 26 tháng 4 năm 2023
20% tiền thưởng mũ trắng
Merlin và CertiK cũng đã thông báo cho các cơ quan có liên quan về vụ việc và nơi ở của nhóm kỹ thuật giả mạo trong khi làm việc trên một kế hoạch bồi thường. Nhóm phụ trợ đã được truy tìm đến Serbia, Châu Âu và chính quyền địa phương đã được thông báo.
Giao thức cũng tuyển dụng các nhà phân tích trên chuỗi để theo dõi dòng tiền. Các tài sản bị đánh cắp đã được tìm thấy trong hai chiếc ví và vẫn còn ở đó tại thời điểm viết bài.
Đồng thời, CertiK có cung cấp 20% tiền thưởng mũ trắng cho các nhà phát triển, kêu gọi họ chấp nhận nó để tránh cơn thịnh nộ của pháp luật.
