شرکت امنیتی Web3 از توسعهدهنده سرکش میخواهد 80 درصد وجوه دزدیده شده را برگرداند و 20 درصد را به عنوان جایزه کلاه سفید ارائه میدهد.
شرکت امنیتی بلاک چین CertiK در حال راهاندازی یک طرح جبرانی با پلتفرم مقیاسبندی لایه ۲ اتریوم zkSync Era برای پوشش ۲ میلیون دلاری از دست رفته در جریان فروش عمومی توکنهای MAGE صرافی مرلین است.
CertiK در بیانیه ای به Cointelegraph در 26 آوریل تکرار کرد که در حال بررسی کلاهبرداری خروج است و تیم مرلین باقی مانده را مأمور کرده است تا طرح جبران خسارت را آغاز کند. او گفت:
تحقیقات اولیه حاکی از آن است که توسعه دهندگان سرکش در اروپا مستقر هستند و CertiK با مجریان قانون برای یافتن آنها در صورت شکست مذاکرات مستقیم همکاری خواهد کرد.
این شرکت امنیتی بلاک چین از توسعهدهنده سرکش میخواهد 80 درصد وجوه سرقت شده را برگرداند و 20 درصد را به عنوان جایزه کلاه سفید بپذیرد.
این شرکت همچنین اعلام کرد که اگرچه فراتر از محدوده کنترل قراردادهای هوشمند است، اما امتیازات کلید خصوصی “متعهد به کمک به کاربران آسیب دیده” است.
مرلین تقریباً 850000 دلار سکه USD (USDC) و برخی توکن های نسبتاً غیر نقدی را در طی سه روز فروش عمومی توکن های MAGE در 26 آوریل از دست داد. دادههای بلاک چین نشان میدهد که یک بهرهبردار با کنترل بر استخر نقدینگی میتواند به راحتی وجوه را برداشت کند.
ما تحقیقاتی در مورد قراردادهای هوشمند مرلین انجام دادیم و کد مخرب مسئول برداشت وجوه را شناسایی کردیم.
این دو خط کد در تابع مقداردهی اولیه اساساً نامحدود هستند (نوع (uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) 26 آوریل 2023
CertiK که بر کد مرلین نظارت دارد، پاسخ داد یافته های اولیه آنها به یک “مسئله مدیریت کلید خصوصی بالقوه” اشاره می کند.
ما به طور فعال در حال بررسی هستیم @TheMerlinDEX رویداد. یافتههای اولیه به یک مشکل بالقوه مدیریت کلید خصوصی به جای سوءاستفاده به عنوان علت اصلی اشاره میکنند.
در حالی که کنترل ها نمی توانند از مسائل کلید خصوصی جلوگیری کنند، ما همیشه بهترین شیوه ها را برای پروژه ها برجسته می کنیم.
اگر خطایی وجود داشته باشد…
— CertiK (@CertiK) 26 آوریل 2023
کریپتو توییتر حسابرسی CertiK را زیر سوال برد. دلالت دارد می تواند قالی کشی باشد.
Thanh Nguyen بنیانگذار Verichains از یک “درپشتی” در کد مرلین صحبت کرد و گفت که “یک خطر امنیتی واضح است زیرا هیچ مورد استفاده ای وجود ندارد که نیاز به تایید او داشته باشد”.
3/4 با این حال، در کد مرلین، علاوه بر کارمزد در تابع swap، یک کد “درپشتی” (L87-88) وجود دارد که به کارمزد اجازه می دهد تمام دارایی های جفت MerlinFactory را منتقل کند. این درب پشتی یک خطر امنیتی واضح است زیرا هیچ موردی وجود ندارد که نیاز به تایید آن داشته باشد. pic.twitter.com/HANwZT27ZS
– تان نگوین (@redragonvn) 26 آوریل 2023
CertiK به Cointelegraph گفت: «در حالی که ممیزیها میتوانند خطرات و آسیبپذیریهای بالقوه را شناسایی کنند، اما نمیتوانند از فعالیتهای مخرب توسعهدهندگان سرکش، مانند قالیکشی جلوگیری کنند». ما کاربران را تشویق میکنیم به دنبال پروژههایی بگردند که دارای «نشان KYC» هستند، که به عنوان یک لایه امنیتی افزوده، نشان میدهد که پروژه بهطور داوطلبانه فرآیند بررسی KYC را طی کرده است.»
مرتبط با: CertiK: Ordinals Finance یک میلیون دلار فروش فرش را تکمیل کرد
این شرکت توضیح داد که انجام این کار می تواند به کاهش و کاهش خطر تهدیدات داخلی، مانند کشیدن فرش کمک کند.
CertiK گفت که به ارائه به روز رسانی در مورد طرح جبران خسارت و تحقیقات در حال انجام ادامه خواهد داد.
نویسنده: Hermi De Ramos