L’auditeur de contrats intelligents CertiK affirme avoir bloqué 160 000 $ de Merlin, un échange décentralisé basé sur zk-Sync (DEX) qui a été le centre d’un « rugpull » d’initiés voyous qui a perdu 1,8 million de dollars la semaine dernière.
CertiK partagé la nouvelle de son gel réussi de 160 000 $ des fonds volés dans une mise à jour de ses 257 700 abonnés Twitter le 5 mai.
« Nous avons réussi à geler 160 000 $ des fonds volés avec l’aide de partenaires », a déclaré CertiK, ajoutant qu’ils continuaient à surveiller le mouvement des fonds volés :
Nous avons réussi à geler 160 000 $ des fonds volés avec l’aide de partenaires. Nous continuerons de surveiller le mouvement de tous les fonds volés dans le but de geler et de récupérer le montant restant.
— CertiK (@CertiK) 4 mai 2023
La société a expliqué qu’elle avait tenté de « collaborer » avec Merlin pour récupérer les fonds volés lors du « rugpull » du 25 avril, mais que les efforts avaient été vains.
Cela a conduit l’entreprise à contacter les forces de l’ordre aux États-Unis et au Royaume-Uni pour tenter de découvrir l’identité des opérateurs pseudonymes :
« Ce manque de coopération a compliqué nos efforts pour valider et aider les victimes. Nous nous concentrons sur la collaboration avec les forces de l’ordre et avons soumis des informations aux agences américaines et britanniques compétentes.
« Nous explorons toutes les possibilités pour lutter contre les escroqueries à la sortie avec les 2 millions de dollars que nous avons engagés », a ajouté CertiK.
La société de sécurité pense que les « développeurs voyous » sont basés en Europe, selon à un post précédent.
En ce qui concerne l’escroquerie à la sortie, CertiK a déclaré que « les initiés de Merlin ont abusé des privilèges du portefeuille du propriétaire », ce qui est cohérent avec son premier découverte qu’il provenait d’un problème de clé privée par opposition à un exploit.
Merlin affirme que le tirage du tapis a été effectué par son équipe de back-end, à laquelle ils prétendent avoir accordé un « degré élevé de confiance ».
Nous sommes profondément attristés par les actions de l’équipe technique, en qui nous accordons une grande confiance. Merlin continuera à soutenir notre communauté et à résoudre le problème.
– Merlin (@TheMerlinDEX) 26 avril 2023
En rapport: Les escroqueries, les exploits et les piratages cryptographiques d’avril entraînent une perte de 103 millions de dollars — CertiK
CertiK, en revanche, s’est imputé une partie de la responsabilité de ne pas avoir correctement informé les utilisateurs des risques de la centralisation.
Dans une note à Cointelegraph, la société a déclaré qu’elle mettrait davantage l’accent sur cela dans les futurs résumés d’audit.
« Nous nous efforçons d’améliorer la clarté de nos résumés d’audit dans nos rapports – en particulier en ce qui concerne les risques de centralisation – et de mieux communiquer avec la communauté sur l’objectif d’un audit. »
À l’avenir, CertiK priorisera les risques de centralisation dans les résumés d’audit pour garantir aux utilisateurs une image complète des risques potentiels.
Nous reconnaissons que les rapports d’audit peuvent être des documents hautement techniques, et il est de notre devoir de communiquer les risques de manière claire et transparente.
— CertiK (@CertiK) 4 mai 2023
CertiK a toutefois souligné que les auditeurs de contrats intelligents ne devraient pas être tenus entièrement responsables de ne pas avoir identifié les tirages au sort :
« Les audits de code ont pour but de découvrir des vulnérabilités, et non de détecter un éventuel rugpull. Il est important de reconnaître que de nombreux projets, grands et petits, ont des problèmes de centralisation signalés, et la grande majorité n’entraîne pas de tirage au sort », a déclaré la société.
L’entreprise lancé un plan d’indemnisation de 2 millions de dollars pour couvrir les fonds perdus à la suite de «l’escroquerie à la sortie» du 27 avril.
La société a ajouté que les fonds promis seront utilisés pour prévenir les escroqueries à la sortie et aider les victimes dans la mesure du possible.
Magazine: Les audits cryptographiques et les primes de bogue sont cassés : voici comment les corriger