CertiK و zkSync برنامه جبران خسارت ۲ میلیون دلاری Merlin DEX Exploit را راه اندازی کردند

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

شرکت امنیتی Web3 توسعه دهندگان سرکش را تشویق می کند تا ۸۰ درصد از وجوه سرقت شده را برگردانند و ۲۰ درصد را به عنوان جایزه کلاه سفید ارائه می دهد.

شرکت امنیتی بلاک چین CertiK با استفاده از پلتفرم مقیاس‌پذیری لایه ۲ اتریوم zkSync Era، طرحی را برای جبران خسارت راه‌اندازی کرده است تا ۲ میلیون دلار از دست رفته در جریان فروش عمومی توکن‌های MAGE در صرافی غیرمتمرکز مرلین را پوشش دهد.

CertiK در بیانیه‌ای به Cointelegraph در ۲۶ آوریل تکرار کرد که در حال بررسی کلاهبرداری خروج از کشور است و از بقیه تیم مرلین خواست تا یک طرح جبران خسارت را آغاز کنند.

تحقیقات اولیه نشان می دهد که توسعه دهنده سرکش در اروپا مستقر است و اگر مذاکرات مستقیم با شکست مواجه شود، CertiK با مجری قانون برای ردیابی آن همکاری خواهد کرد.

یک شرکت امنیتی بلاک چین از توسعه دهندگان سرکش می خواهد که ۸۰ درصد وجوه دزدیده شده را برگردانند و ۲۰ درصد آن را به عنوان جایزه می پذیرد.

این شرکت همچنین خاطرنشان کرد که امتیازات کلید خصوصی خارج از محدوده ممیزی قراردادهای هوشمند است، اما “متعهد به کمک به کاربران آسیب دیده است.”

مرلین تقریباً ۸۵۰,۰۰۰ دلار سکه USD (USDC) و توکن‌های نسبتاً غیر نقدی را در طی فروش عمومی سه روزه توکن MAGE در ۲۶ آوریل بدون محدودیت سقفی از دست داد. داده‌های بلاک چین نشان می‌دهد که پول به راحتی توسط استثمارگرانی که بر استخرهای نقدینگی کنترل داشتند، خارج می‌شد.

ما قراردادهای هوشمند مرلین را بررسی کردیم و کد مخربی را شناسایی کردیم که باعث نفوذ پول شده است.

این دو خط کد در تابع مقداردهی اولیه، اساساً به آدرس feeTo اجازه می دهد تا نامحدود (type(uint256).max) را انتقال دهد. pic.twitter.com/mIksh4HkhB

— eZKalibur ∎ (@zkaliburDEX) ۲۶ آوریل ۲۰۲۳

CertiK که کد مرلین را ممیزی کرد، پاسخ داد یافته های اولیه به یک “مشکل بالقوه مدیریت کلید خصوصی” اشاره کرد.

ما به طور فعال در حال بررسی هستیم شینشین حادثه. یافته های اولیه به جای سوء استفاده ها به عنوان علت اصلی، به مسائل بالقوه مدیریت کلید خصوصی اشاره می کند.

ممیزی نمی تواند از مسائل کلید خصوصی جلوگیری کند، اما ما همیشه بر بهترین شیوه های پروژه تاکید می کنیم.

خطا یعنی…

— CertiK (@CertiK) ۲۶ آوریل ۲۰۲۳

توییتر کریپتو حسابرسی CertiK را زیر سوال می برد، پیشنهاد که ممکن است فرش کشیده شود.

Thanh Nguyen بنیانگذار Verichains به یک “درپشتی” در کد مرلین اشاره کرد و گفت که این یک “خطر امنیتی واضح است زیرا هیچ مورد استفاده ای وجود ندارد که نیاز به مجوز داشته باشد.”

۳/۴ با این حال، کد مرلین دارای یک کد “درپشتی” (L87-88) است که به FeeTo MerlinFactory اجازه می دهد تا تمام دارایی های جفت را علاوه بر کارمزد تابع مبادله منتقل کند. این درب پشتی یک خطر امنیتی واضح است زیرا هیچ مورد استفاده ای که نیاز به مجوز داشته باشد وجود ندارد. pic.twitter.com/HAnwZT27ZS

– تان نگوین (@redragonvn) ۲۶ آوریل ۲۰۲۳

CertiK در بیانیه‌ای به Cointelegraph گفت: «در حالی که ممیزی‌ها می‌توانند خطرات و آسیب‌پذیری‌های بالقوه را شناسایی کنند، اما نمی‌توانند از فعالیت‌های مخرب توسعه‌دهندگان سرکش مانند عقب‌نشینی‌ها جلوگیری کنند». “کاربران تشویق می شوند که به دنبال پروژه هایی با “نشان KYC” به عنوان یک لایه امنیتی اضافی بگردند، که نشان می دهد پروژه به طور داوطلبانه مراحل بررسی KYC را طی کرده است.”

مربوط: Ordinals Finance یک میلیون دلار تاخیر انجام داد: CertiK

این شرکت توضیح داد که انجام این کار به کاهش و کاهش خطر تهدیدات داخلی مانند کشیدن فرش کمک می کند.

CertiK گفت که به ارائه به روز رسانی در مورد برنامه های جبران خسارت و تحقیقات در حال انجام خود ادامه خواهد داد.

نویسنده: Hermi De Ramos