Merlin, sàn giao dịch phi tập trung (DEX) chạy trên layer-2 zkSync, đã rug pull với số tiền 2 triệu USD. CertiK, đơn vị đã audit cho Merlin, đứng ra nhận trách nhiệm bồi thường thiệt hại.
Cập nhật vào sáng ngày 27/04/2023:
1 ngày sau khi phát hiện vụ việc, cuối cùng cộng đồng cũng chính thức xác nhận rằng Merlin đã rug pull, ôm tiền bỏ chạy chứ chẳng có hacker nào ở đây cả.
Cụ thể, dù đã được CertiK audit đầy đủ, đơn vị bảo mật này vẫn không thể đảm bảo được hành vi sai trái từ chính nội bộ dự án.
Theo thông tin từ Twitter Merlin, đã có một bộ phận thành viên trong đội back-end của dự án - những người có quyền kiểm soát các dòng mã code và private key - đã quyết tâm cuỗm tiền đi mất.
Merlin's Post-Mortem
— Merlin (@TheMerlinDEX) April 26, 2023
it is with deepest regret that we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform.
In the early hours of this morning the several members of the Back-End Team drained all of our Contracts.
Các thành viên còn lại sẽ bắt tay với CertiK để cố gắng lấy lại số tiền đã mất, đồng thời liên hệ với cơ quan pháp lý để có biện pháp chế tài phù hợp.
Về phần mình, CertiK hứa hẹn sẽ có kế hoạch bồi thường 2 triệu USD cho người bị hại. Họ cũng bắt đầu truy vết danh tính kẻ xấu và xác định được nơi cư trú của bọn xấu là ở Sebria, châu Âu.
1/ CertiK is exploring a community compensation plan to cover the ~$2M of user funds lost in the Merlin DEX rug pull. Initial investigations indicate that the rogue developers are based in Europe, and we are working with law enforcement to track them down.
— CertiK (@CertiK) April 26, 2023
⬇️⬇️⬇️
CertiK kêu gọi bọn xấu nên hoàn trả lại tiền và chấp nhận khoản whitehat bounty 20%. Như thế thì mọi chuyện có thể giải quyết êm đẹp, hơn là phải đối mặt với các chế tài pháp lý về sau.
2/ We urge the rogue developers to accept a 20% white hat bounty. Although we raised the private key privilege issues in the audit report, we want to assist impacted users. We are determined to track down those behind this rug pull. More compensation details will be released.
— CertiK (@CertiK) April 26, 2023
Bài viết gốc:
Sáng ngày 26/04/2023 theo giờ Việt Nam, nhiều bên bảo mật blockchain cảnh báo rằng sàn DEX Merlin trên zkSync đang bị tấn công. Bọn tin tặc đã bòn rút tổng 1.823.477 USD từ Core Farming Pools của Merlin dưới dạng các đồng USDC, TAROT và ETH.
#PeckShieldAlert Our community contributor has reported that Merlin #DEX on #zksync was exploited. One of the exploiters 0x2744...9b7 has grabbed ~850K $USDC and bridged them to #Ethereum https://t.co/hfgjJJY7Ml pic.twitter.com/07uSGMAt7e
— PeckShieldAlert (@PeckShieldAlert) April 26, 2023
Hiện số tiền đánh cắp đang nằm trong hai ví:
Stolen funds ($1,823,477) are in
— Bobie(?.?) (@0xBobie) April 26, 2023
1, 0x0b8a3ef6307049aa0ff215720ab1fc885007393d
2, 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
The potential hacker bridged all of them to Ethereum. https://t.co/ADDnuhNjVI pic.twitter.com/26zbt9AG9M
1/ 0x0b8a3ef6307049aa0ff215720ab1fc885007393d
2/ 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
Kế đó, khoản tiền đã được hacker chuyển sang blockchain Ethereum.
Đáng chú ý là Merlin vừa được CertiK audit cách đây không lâu và mới bắt đầu public sale vào ngày hôm qua (25/04). Nhưng chưa đầy 24 giờ đã không thoát khỏi tầm ngắm của bọn hacker.
Dự án kêu gọi người dùng revoke nếu đã approve smart contract và cho biết vẫn đang trong quá trình điều tra vụ việc.
Developer announcement ?
— Merlin (@TheMerlinDEX) April 26, 2023
Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T
We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.
More updates will be provided
Về phía CertiK, đơn vị bảo mật vừa có báo cáo sơ bộ nhấn mạnh rằng nguyên nhân vụ việc đến từ lỗi private key chứ không phải lỗi đến từ các dòng mã code. Nghĩa là việc audit của CertiK hoàn toàn "uy tín", bị lỗi là đến từ khâu thao tác của dự án và người dùng. (?!)
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Tuy nhiên, báo cáo này chưa được chứng thực và chúng ta vẫn chưa biết chắc chắn lý do gây ra vụ tấn công là gì.
zkSync gần đây nổi lên như một dự án layer-2 có khả năng airdrop cho người dùng. Vì thế mà cộng đồng đổ xô bridge tài sản sang zkSync để làm retroactive, cũng tạo ra mảnh đất màu mỡ để bọn scammer, hacker hoành hành. Vì thế, cộng đồng nên cảnh giác trước những thủ đoạn tinh vi và lời hứa hẹn "màu hường" như vậy.
Ngoài ra, bản thân zkSync cũng có nhiều lỗi về mặt kỹ thuật, gây rắc rối không nhỏ cho những dự án muốn xây dựng trên nó. Trước đó đã có trường hợp của GemholicECO mắc kẹt 921 ETH tiền mở bán token trên zkSync Era.
Coin68 tổng hợp
Có thể bạn quan tâm: