mercredi, décembre 25, 2024

Une entreprise de sécurité Blockchain gèle 160 000 $ volés dans le «rugpull» de Merlin DEX

L’auditeur de contrats intelligents CertiK affirme avoir bloqué 160 000 $ de Merlin, un échange décentralisé basé sur zk-Sync (DEX) qui a été le centre d’un « rugpull » d’initiés voyous qui a perdu 1,8 million de dollars la semaine dernière.

CertiK partagé la nouvelle de son gel réussi de 160 000 $ des fonds volés dans une mise à jour de ses 257 700 abonnés Twitter le 5 mai.

« Nous avons réussi à geler 160 000 $ des fonds volés avec l’aide de partenaires », a déclaré CertiK, ajoutant qu’ils continuaient à surveiller le mouvement des fonds volés :

La société a expliqué qu’elle avait tenté de « collaborer » avec Merlin pour récupérer les fonds volés lors du « rugpull » du 25 avril, mais que les efforts avaient été vains.

Cela a conduit l’entreprise à contacter les forces de l’ordre aux États-Unis et au Royaume-Uni pour tenter de découvrir l’identité des opérateurs pseudonymes :

« Ce manque de coopération a compliqué nos efforts pour valider et aider les victimes. Nous nous concentrons sur la collaboration avec les forces de l’ordre et avons soumis des informations aux agences américaines et britanniques compétentes.

« Nous explorons toutes les possibilités pour lutter contre les escroqueries à la sortie avec les 2 millions de dollars que nous avons engagés », a ajouté CertiK.

La société de sécurité pense que les « développeurs voyous » sont basés en Europe, selon à un post précédent.

En ce qui concerne l’escroquerie à la sortie, CertiK a déclaré que « les initiés de Merlin ont abusé des privilèges du portefeuille du propriétaire », ce qui est cohérent avec son premier découverte qu’il provenait d’un problème de clé privée par opposition à un exploit.

Merlin affirme que le tirage du tapis a été effectué par son équipe de back-end, à laquelle ils prétendent avoir accordé un « degré élevé de confiance ».

En rapport: Les escroqueries, les exploits et les piratages cryptographiques d’avril entraînent une perte de 103 millions de dollars — CertiK

CertiK, en revanche, s’est imputé une partie de la responsabilité de ne pas avoir correctement informé les utilisateurs des risques de la centralisation.

Dans une note à Cointelegraph, la société a déclaré qu’elle mettrait davantage l’accent sur cela dans les futurs résumés d’audit.

« Nous nous efforçons d’améliorer la clarté de nos résumés d’audit dans nos rapports – en particulier en ce qui concerne les risques de centralisation – et de mieux communiquer avec la communauté sur l’objectif d’un audit. »

CertiK a toutefois souligné que les auditeurs de contrats intelligents ne devraient pas être tenus entièrement responsables de ne pas avoir identifié les tirages au sort :

« Les audits de code ont pour but de découvrir des vulnérabilités, et non de détecter un éventuel rugpull. Il est important de reconnaître que de nombreux projets, grands et petits, ont des problèmes de centralisation signalés, et la grande majorité n’entraîne pas de tirage au sort », a déclaré la société.

L’entreprise lancé un plan d’indemnisation de 2 millions de dollars pour couvrir les fonds perdus à la suite de «l’escroquerie à la sortie» du 27 avril.

La société a ajouté que les fonds promis seront utilisés pour prévenir les escroqueries à la sortie et aider les victimes dans la mesure du possible.

Magazine: Les audits cryptographiques et les primes de bogue sont cassés : voici comment les corriger