- Merlin ist eine auf Ethereum basierende dezentrale Börse (DEX), die Zero-Knowledge-Sync (zkSync) verwendet.
- Der DEX hat bei einem Liquiditätspool-Hack mehr als 1,8 Millionen Dollar verloren.
- Der Hack fand nur wenige Stunden nach der Überprüfung des DEX-Codes durch die Sicherheitsfirma für Smart Contracts CertiK statt.
Die auf Ethereum basierende dezentralisierte Börse (DEX) Merlin wachte am Mittwochmorgen mit schlechten Nachrichten auf, nachdem ein oder mehrere Hacker die DEX bei einem Liquiditätspool-Hack mit 1,8 Millionen Dollar entleert hatten. Der Hack geschah während eines öffentlichen Verkaufs von Merlins nativem Token MAGE.
Der/die Hacker stahlen mehrere Kryptowährungs-Assets, darunter Ethereum (ETH), USD Coin (USDC) und andere illiquide Token.
CertiK hatte Merlins Code geprüft
Wenige Stunden nach dem Hack hat die Sicherheitsfirma CertiK getwittert sagte, dass es den Vorfall untersuchte, um seine Auswirkungen auf die Gemeinschaft zu verstehen. Es sagte auch, dass seine ersten Ergebnisse darauf hindeuten, dass es sich um ein Problem mit der Verwaltung privater Schlüssel handeln könnte, was bedeutet, dass es sich um einen Hack und nicht um einen Exploit handelte, wie allgemein angenommen.
CertiK führte eine Prüfung von Merlins Code am 24. April 2023 und empfahl Merlin, seine „zentralisierten Rollen für den dezentralisierten Mechanismus wie Multi-Signatur-Wallets zu verbessern, um die Sicherheitspraktiken zu verbessern“. Außerdem wurde Merlin gebeten, eine Timelock-Funktion mit einer Latenzzeit von mindestens 48 Stunden zu implementieren, um eine zentrale Schlüsselverwaltung zu vermeiden.
CertiK versprach auch, mit den zuständigen Behörden zusammenzuarbeiten, falls etwas auftauchen sollte.
CertiK zum Ausgleich von Vermögensverlusten
Während der Hacker, den CertiK für einen abtrünnigen Entwickler hält, aufgefordert wird, 80 % der gestohlenen Gelder zurückzugeben, bot die Sicherheitsfirma dem Hacker eine Prämie von 20 % White Hat an.
In einer Erklärung gegenüber einem renommierten Medienunternehmen vom 26. April bekräftigte CertiK, dass es den Austrittsbetrug untersucht, und hat auch das verbleibende Merlin-Team beauftragt, den Vergütungsplan einzuleiten. Die Firma genannt:
„CertiK untersucht einen Community-Entschädigungsplan, um die rund 2 Millionen US-Dollar an Benutzergeldern abzudecken, die beim Merlin DEX Rug Pull verloren gegangen sind. Erste Untersuchungen deuten darauf hin, dass die betrügerischen Entwickler in Europa ansässig sind, und wir arbeiten mit den Strafverfolgungsbehörden zusammen, um sie aufzuspüren.“
CertiK stellte außerdem fest, dass die Privilegien privater Schlüssel „zur Unterstützung betroffener Benutzer verpflichtet“ sind, obwohl sie nicht in den Geltungsbereich einer intelligenten Vertragsprüfung fallen.
Quelle: Coinlist.me
