El auditor de contratos inteligentes Certik planea compensar a las víctimas del incidente de rug pull del exchange descentralizado (DEX) de zkSync, Merlin, donde desarrolladores maliciosos drenaron alrededor de $2 millones en fondos de los usuarios. Es importante recordar que Certik auditó al DEX Merlin y dio el visto bueno.
La cuenta oficial de Twitter de Certik anunció el jueves 27 de abril que estaba «explorando un plan de compensación comunitaria para cubrir los casi $2M de fondos perdidos por los usuarios en el rug pull del DEX Merlin». El auditor también ha ofrecido a los desarrolladores maliciosos una recompensa del 20% como «sombrero blanco», pero niega cualquier deficiencia en su informe de auditoría de Merlin.
El incidente de $2 millones en Merlin DEX
Merlin se presentó como un exchange descentralizado (DEX) basado en zkSync para rendimientos y liquidez verdaderos. En las primeras horas del miércoles 26 de abril, el DEX fue aparentemente explotado por más de $1,8 millones durante la venta pública de tres días de sus tokens mage (MAGE).
Los datos de varias plataformas de inteligencia blockchain sugirieron que se habían robado $1,82 millones en total de las piscinas de liquidez. Merlin perdió alrededor de $850.000 en USD Coin (USDC) y algunos tokens relativamente ilíquidos más. Según los informes, un explotador con control sobre la piscina de liquidez pudo drenar los fondos con facilidad.
Sin embargo, las investigaciones insinuaron sobre un rug pull en lugar de una explotación, lo cual Certik y la cuenta de Twitter de Merlin confirmaron más tarde.
Merlin, en Twitter, dijo:
«Post-mortem de Merlin, es con profundo pesar que tenemos que notificarles de una falla importante en la integridad estructural y los controles de la plataforma Merlin. En las primeras horas de esta mañana, varios miembros del equipo de back-end drenaron todos nuestros contratos».
Merlin siempre promocionó una auditoría realizada por CertiK sin hallazgos críticos. En respuesta, Certik mantuvo que destacó problemas de privilegio de clave privada en el informe. «En el informe de auditoría ‘Merlin DEX’, se destaca el riesgo de centralización en la sección ‘Esfuerzos de descentralización'», dijo Certik.
Ahora que se confirma que el incidente fue un rug pull, el auditor y el equipo restante de Merlin están trabajando para recuperar y reembolsar a las víctimas. Certik anunció:
«Instamos a los desarrolladores maliciosos a aceptar una recompensa del 20% como ‘sombrero blanco’. Aunque planteamos los problemas de privilegio de clave privada en el informe de auditoría, queremos ayudar a los usuarios afectados. Estamos decididos a rastrear a los responsables de este rug pull. Se publicarán más detalles de compensación».
También se ha establecido que los desarrolladores maliciosos están basados en Europa, probablemente en Serbia. Ambas partes están trabajando ahora con las autoridades para rastrearlos.
