- Merlin es un intercambio descentralizado (DEX) basado en Ethereum que utiliza sincronización de conocimiento cero (zkSync).
- El DEX ha perdido más de 1,8 millones de dólares en un hackeo del fondo de liquidez.
- El hackeo tuvo lugar pocas horas después de que la empresa de seguridad de contratos inteligentes CertiK auditara el código de DEX.
El intercambio descentralizado (DEX) basado en Ethereum, Merlin, se despertó con malas noticias el miércoles por la mañana después de que un pirata informático drenara el DEX $ 1.8 millones en un pirateo del grupo de liquidez. El hackeo ocurrió durante una venta pública del token MAGE nativo de Merlin.
Los piratas informáticos robaron varios activos de criptomonedas, incluidos Ethereum (ETH), USD Coin (USDC) y otros tokens no líquidos.
CertiK había auditado el código de Merlin
Pocas horas después del hackeo, la empresa de seguridad CertiK tuiteó diciendo que estaba investigando el incidente para comprender su impacto en la comunidad. También dijo que sus hallazgos iniciales sugieren que podría haber sido el resultado de un problema con la administración de una clave privada, lo que significa que fue un pirateo y no un exploit como se pensaba ampliamente.
CertiK realizó un auditoría del código de Merlín el 24 de abril de 2023, y recomendó que Merlin mejore sus “roles centralizados al mecanismo descentralizado como billeteras de firmas múltiples para mejorar las prácticas de seguridad”. También solicitó a Merlin que implementara una función de bloqueo de tiempo con una latencia de al menos 48 horas para evitar un único punto de administración de claves.
CertiK también prometió colaborar con las autoridades correspondientes en caso de que surgiera algo.
CertiK y zkSync Era para compensar la pérdida de activos
Mientras instaba al pirata informático, que CertiK cree que es un desarrollador deshonesto, a devolver el 80 % de los fondos robados, la empresa de seguridad ofreció una recompensa de sombrero blanco del 20 % al pirata informático.
En una declaración a un medio de comunicación de renombre el 26 de abril, CertiK reiteró que está investigando la estafa de salida y también reclutó al equipo restante de Merlin para iniciar el plan de compensación. La firma dicho:
“CertiK está explorando un plan de compensación comunitaria para cubrir los ~2 millones de dólares de fondos de usuarios perdidos en la retirada de la alfombra Merlin DEX. Las investigaciones iniciales indican que los desarrolladores deshonestos tienen su sede en Europa y estamos trabajando con las fuerzas del orden para localizarlos”.
CertiK también señaló que los privilegios de clave privada están “comprometidos para ayudar a los usuarios afectados” a pesar de que están fuera del alcance de una auditoría de contrato inteligente.
