El auditor de contratos inteligentes Certik planea compensar a las víctimas del incidente de rug pull del exchange descentralizado (DEX) de zkSync, Merlin, donde desarrolladores maliciosos drenaron alrededor de $2 millones en fondos de los usuarios. Es importante recordar que Certik auditó al DEX Merlin y dio el visto bueno.

La cuenta oficial de Twitter de Certik anunció el jueves 27 de abril que estaba «explorando un plan de compensación comunitaria para cubrir los casi $2M de fondos perdidos por los usuarios en el rug pull del DEX Merlin». El auditor también ha ofrecido a los desarrolladores maliciosos una recompensa del 20% como «sombrero blanco», pero niega cualquier deficiencia en su informe de auditoría de Merlin.

1/ CertiK is exploring a community compensation plan to cover the ~$2M of user funds lost in the Merlin DEX rug pull. Initial investigations indicate that the rogue developers are based in Europe, and we are working with law enforcement to track them down.

⬇️⬇️⬇️

— CertiK (@CertiK) April 26, 2023

El incidente de $2 millones en Merlin DEX

Merlin se presentó como un exchange descentralizado (DEX) basado en zkSync para rendimientos y liquidez verdaderos. En las primeras horas del miércoles 26 de abril, el DEX fue aparentemente explotado por más de $1,8 millones durante la venta pública de tres días de sus tokens mage (MAGE).

Los datos de varias plataformas de inteligencia blockchain sugirieron que se habían robado $1,82 millones en total de las piscinas de liquidez. Merlin perdió alrededor de $850.000 en USD Coin (USDC) y algunos tokens relativamente ilíquidos más. Según los informes, un explotador con control sobre la piscina de liquidez pudo drenar los fondos con facilidad.

Sin embargo, las investigaciones insinuaron sobre un rug pull en lugar de una explotación, lo cual Certik y la cuenta de Twitter de Merlin confirmaron más tarde.

Merlin, en Twitter, dijo:

«Post-mortem de Merlin, es con profundo pesar que tenemos que notificarles de una falla importante en la integridad estructural y los controles de la plataforma Merlin. En las primeras horas de esta mañana, varios miembros del equipo de back-end drenaron todos nuestros contratos».

Merlin's Post-Mortem

it is with deepest regret that we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform.

In the early hours of this morning the several members of the Back-End Team drained all of our Contracts.

— Merlin (@TheMerlinDEX) April 26, 2023

Merlin siempre promocionó una auditoría realizada por CertiK sin hallazgos críticos. En respuesta, Certik mantuvo que destacó problemas de privilegio de clave privada en el informe. «En el informe de auditoría ‘Merlin DEX’, se destaca el riesgo de centralización en la sección ‘Esfuerzos de descentralización'», dijo Certik.

Our response teams have been working diligently to understand the circumstances and assess the extent of the impact on our community.

In the audit report "Merlin DEX", the centralization risk is highlighted under the section “Decentralization Efforts". pic.twitter.com/FE48pFGJmr

— CertiK (@CertiK) April 26, 2023

Ahora que se confirma que el incidente fue un rug pull, el auditor y el equipo restante de Merlin están trabajando para recuperar y reembolsar a las víctimas. Certik anunció:

«Instamos a los desarrolladores maliciosos a aceptar una recompensa del 20% como ‘sombrero blanco’. Aunque planteamos los problemas de privilegio de clave privada en el informe de auditoría, queremos ayudar a los usuarios afectados. Estamos decididos a rastrear a los responsables de este rug pull. Se publicarán más detalles de compensación».

También se ha establecido que los desarrolladores maliciosos están basados en Europa, probablemente en Serbia. Ambas partes están trabajando ahora con las autoridades para rastrearlos.