CertiK و zkSync طرح جبران خسارت 2 میلیون دلاری مرلین DEX را راه اندازی می کنند

امیر کرمی
آوریل 26, 2023
10:15 ب.ظ
بدون نظر
بازدید: 70

شرکت امنیتی Web3 از توسعه‌دهنده سرکش می‌خواهد 80 درصد وجوه دزدیده شده را برگرداند و 20 درصد را به عنوان جایزه کلاه سفید ارائه می‌دهد.

شرکت امنیتی بلاک چین CertiK در حال راه‌اندازی یک طرح جبرانی با پلتفرم مقیاس‌بندی لایه ۲ اتریوم zkSync Era برای پوشش ۲ میلیون دلاری از دست رفته در جریان فروش عمومی توکن‌های MAGE صرافی مرلین است.

CertiK در بیانیه ای به Cointelegraph در 26 آوریل تکرار کرد که در حال بررسی کلاهبرداری خروج است و تیم مرلین باقی مانده را مأمور کرده است تا طرح جبران خسارت را آغاز کند. او گفت:

تحقیقات اولیه حاکی از آن است که توسعه دهندگان سرکش در اروپا مستقر هستند و CertiK با مجریان قانون برای یافتن آنها در صورت شکست مذاکرات مستقیم همکاری خواهد کرد.

این شرکت امنیتی بلاک چین از توسعه‌دهنده سرکش می‌خواهد 80 درصد وجوه سرقت شده را برگرداند و 20 درصد را به عنوان جایزه کلاه سفید بپذیرد.

این شرکت همچنین اعلام کرد که اگرچه فراتر از محدوده کنترل قراردادهای هوشمند است، اما امتیازات کلید خصوصی “متعهد به کمک به کاربران آسیب دیده” است.

مرلین تقریباً 850000 دلار سکه USD (USDC) و برخی توکن های نسبتاً غیر نقدی را در طی سه روز فروش عمومی توکن های MAGE در 26 آوریل از دست داد. داده‌های بلاک چین نشان می‌دهد که یک بهره‌بردار با کنترل بر استخر نقدینگی می‌تواند به راحتی وجوه را برداشت کند.

ما تحقیقاتی در مورد قراردادهای هوشمند مرلین انجام دادیم و کد مخرب مسئول برداشت وجوه را شناسایی کردیم.
این دو خط کد در تابع مقداردهی اولیه اساساً نامحدود هستند (نوع (uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) 26 آوریل 2023

CertiK که بر کد مرلین نظارت دارد، پاسخ داد یافته های اولیه آنها به یک “مسئله مدیریت کلید خصوصی بالقوه” اشاره می کند.

ما به طور فعال در حال بررسی هستیم @TheMerlinDEX رویداد. یافته‌های اولیه به یک مشکل بالقوه مدیریت کلید خصوصی به جای سوءاستفاده به عنوان علت اصلی اشاره می‌کنند.
در حالی که کنترل ها نمی توانند از مسائل کلید خصوصی جلوگیری کنند، ما همیشه بهترین شیوه ها را برای پروژه ها برجسته می کنیم.
اگر خطایی وجود داشته باشد…
— CertiK (@CertiK) 26 آوریل 2023

کریپتو توییتر حسابرسی CertiK را زیر سوال برد. دلالت دارد می تواند قالی کشی باشد.

Thanh Nguyen بنیانگذار Verichains از یک “درپشتی” در کد مرلین صحبت کرد و گفت که “یک خطر امنیتی واضح است زیرا هیچ مورد استفاده ای وجود ندارد که نیاز به تایید او داشته باشد”.

3/4 با این حال، در کد مرلین، علاوه بر کارمزد در تابع swap، یک کد “درپشتی” (L87-88) وجود دارد که به کارمزد اجازه می دهد تمام دارایی های جفت MerlinFactory را منتقل کند. این درب پشتی یک خطر امنیتی واضح است زیرا هیچ موردی وجود ندارد که نیاز به تایید آن داشته باشد. pic.twitter.com/HANwZT27ZS
– تان نگوین (@redragonvn) 26 آوریل 2023

CertiK به Cointelegraph گفت: «در حالی که ممیزی‌ها می‌توانند خطرات و آسیب‌پذیری‌های بالقوه را شناسایی کنند، اما نمی‌توانند از فعالیت‌های مخرب توسعه‌دهندگان سرکش، مانند قالی‌کشی جلوگیری کنند». ما کاربران را تشویق می‌کنیم به دنبال پروژه‌هایی بگردند که دارای «نشان KYC» هستند، که به عنوان یک لایه امنیتی افزوده، نشان می‌دهد که پروژه به‌طور داوطلبانه فرآیند بررسی KYC را طی کرده است.»

مرتبط با: CertiK: Ordinals Finance یک میلیون دلار فروش فرش را تکمیل کرد

این شرکت توضیح داد که انجام این کار می تواند به کاهش و کاهش خطر تهدیدات داخلی، مانند کشیدن فرش کمک کند.

CertiK گفت که به ارائه به روز رسانی در مورد طرح جبران خسارت و تحقیقات در حال انجام ادامه خواهد داد.

نویسنده: Hermi De Ramos

اشتراک گذاری و حمایت

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید لغو پاسخ

برای نوشتن دیدگاه باید وارد بشوید.