CertiK و zkSync برنامه جبران خسارت ۲ میلیون دلاری Merlin DEX Exploit را راه اندازی کردند

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،
شرکت امنیتی Web3 توسعه دهندگان سرکش را تشویق می کند تا ۸۰ درصد از وجوه سرقت شده را برگردانند و ۲۰ درصد را به عنوان جایزه کلاه سفید ارائه می دهد.
شرکت امنیتی بلاک چین CertiK با استفاده از پلتفرم مقیاسپذیری لایه ۲ اتریوم zkSync Era، طرحی را برای جبران خسارت راهاندازی کرده است تا ۲ میلیون دلار از دست رفته در جریان فروش عمومی توکنهای MAGE در صرافی غیرمتمرکز مرلین را پوشش دهد.
CertiK در بیانیهای به Cointelegraph در ۲۶ آوریل تکرار کرد که در حال بررسی کلاهبرداری خروج از کشور است و از بقیه تیم مرلین خواست تا یک طرح جبران خسارت را آغاز کنند.
تحقیقات اولیه نشان می دهد که توسعه دهنده سرکش در اروپا مستقر است و اگر مذاکرات مستقیم با شکست مواجه شود، CertiK با مجری قانون برای ردیابی آن همکاری خواهد کرد.
یک شرکت امنیتی بلاک چین از توسعه دهندگان سرکش می خواهد که ۸۰ درصد وجوه دزدیده شده را برگردانند و ۲۰ درصد آن را به عنوان جایزه می پذیرد.
این شرکت همچنین خاطرنشان کرد که امتیازات کلید خصوصی خارج از محدوده ممیزی قراردادهای هوشمند است، اما “متعهد به کمک به کاربران آسیب دیده است.”
مرلین تقریباً ۸۵۰,۰۰۰ دلار سکه USD (USDC) و توکنهای نسبتاً غیر نقدی را در طی فروش عمومی سه روزه توکن MAGE در ۲۶ آوریل بدون محدودیت سقفی از دست داد. دادههای بلاک چین نشان میدهد که پول به راحتی توسط استثمارگرانی که بر استخرهای نقدینگی کنترل داشتند، خارج میشد.
ما قراردادهای هوشمند مرلین را بررسی کردیم و کد مخربی را شناسایی کردیم که باعث نفوذ پول شده است.
این دو خط کد در تابع مقداردهی اولیه، اساساً به آدرس feeTo اجازه می دهد تا نامحدود (type(uint256).max) را انتقال دهد. pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) ۲۶ آوریل ۲۰۲۳
CertiK که کد مرلین را ممیزی کرد، پاسخ داد یافته های اولیه به یک “مشکل بالقوه مدیریت کلید خصوصی” اشاره کرد.
ما به طور فعال در حال بررسی هستیم شینشین حادثه. یافته های اولیه به جای سوء استفاده ها به عنوان علت اصلی، به مسائل بالقوه مدیریت کلید خصوصی اشاره می کند.
ممیزی نمی تواند از مسائل کلید خصوصی جلوگیری کند، اما ما همیشه بر بهترین شیوه های پروژه تاکید می کنیم.
خطا یعنی…
— CertiK (@CertiK) ۲۶ آوریل ۲۰۲۳
توییتر کریپتو حسابرسی CertiK را زیر سوال می برد، پیشنهاد که ممکن است فرش کشیده شود.
Thanh Nguyen بنیانگذار Verichains به یک “درپشتی” در کد مرلین اشاره کرد و گفت که این یک “خطر امنیتی واضح است زیرا هیچ مورد استفاده ای وجود ندارد که نیاز به مجوز داشته باشد.”
۳/۴ با این حال، کد مرلین دارای یک کد “درپشتی” (L87-88) است که به FeeTo MerlinFactory اجازه می دهد تا تمام دارایی های جفت را علاوه بر کارمزد تابع مبادله منتقل کند. این درب پشتی یک خطر امنیتی واضح است زیرا هیچ مورد استفاده ای که نیاز به مجوز داشته باشد وجود ندارد. pic.twitter.com/HAnwZT27ZS
– تان نگوین (@redragonvn) ۲۶ آوریل ۲۰۲۳
CertiK در بیانیهای به Cointelegraph گفت: «در حالی که ممیزیها میتوانند خطرات و آسیبپذیریهای بالقوه را شناسایی کنند، اما نمیتوانند از فعالیتهای مخرب توسعهدهندگان سرکش مانند عقبنشینیها جلوگیری کنند». “کاربران تشویق می شوند که به دنبال پروژه هایی با “نشان KYC” به عنوان یک لایه امنیتی اضافی بگردند، که نشان می دهد پروژه به طور داوطلبانه مراحل بررسی KYC را طی کرده است.”
مربوط: Ordinals Finance یک میلیون دلار تاخیر انجام داد: CertiK
این شرکت توضیح داد که انجام این کار به کاهش و کاهش خطر تهدیدات داخلی مانند کشیدن فرش کمک می کند.
CertiK گفت که به ارائه به روز رسانی در مورد برنامه های جبران خسارت و تحقیقات در حال انجام خود ادامه خواهد داد.
نویسنده: Hermi De Ramos