Merlin DEX - REKT

$1,8M desaparecieron en un puff de humo cuando Merlin hizo el clásico truco de magia DeFi.

Merlin, un DEX nativo del recientemente lanzado zkSync, estaba en medio de un "Evento de generación de liquidez" de 3 días como parte del launch de su token (MAGE).

La alarma la dio inicialmente un miembro de la comunidad antes de que Peckshield difundiera el mensaje. Merlin luego reconoció el incidente y aconsejó a los usuarios que revocaran los permisos como medida de precaución.

No debe confundirse con Merlin Labs, que ha aparecido 3 veces en el leaderboard (quien fue rekt en repetidas ocasiones durante el baño de sangre de BSC en la primavera del 2021), Merlin había pasado su segunda auditoría de Certik solo dos días antes del ataque.

La historia de Merlín puede ser la de un simple rug; una historia que hemos escuchado muchas veces antes.

Pero, esta vez, Merlín ha conjurado sin querer un debate sobre el valor de ciertos estilos de auditoría...

Crédito: BeosinAlert

El mecanismo del rug era un caso sencillo de drenaje de los fondos de liquidez en los que los usuarios estaban depositando como parte del token sale de MAGE.

Esto fue posible gracias a las aprobaciones máximas otorgadas a la dirección de Feeto al momento de la implementación de los pools. Las personas que controlan la dirección de Feeto podrían drenar el conjunto de todos los activos, que luego fueron bridged a ETH.

La propia autopsia de Merlin culpa directamente al team de desarrollo de back-end. El hilo incluye enlaces a los perfiles de github de los desarrolladores y afirma que se ha contactado a las autoridades serbias.

Dirección del atacante (en la que se drenaron los fondos): 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

Consulte el análisis completo de Beosin para obtener más detalles y direcciones.

Los fondos rugged fueron bridged de regreso a Ethereum, en donde se hizo un swap por ETH y se transfirieron a otras direcciones.

Este es el primer incidente en zksync, un zero-knowledge rollup de Ethereum cuya mainnet se lanzó en marzo.

No pasó mucho tiempo para que el nuevo entorno se convirtiera en un blanco...

zksync ya estuvo cerca cuando su cuenta de Twitter fue atacada (presumiblemente para realizar una campaña de phishing) a principios de este mes.

A medida que florecen nuevos ecosistemas, aprovechando tecnología emocionante para impulsar nuestra industria, los malos actores nunca se quedarán atrás.

Y las tomas de dinero en efectivo de bajo esfuerzo son el honeypot perfecto para quienes quieren engañar a los usuarios o a los posibles hackers en busca de código vulnerable desplegado a toda prisa...

En general, una auditoría realizada por una empresa de seguridad de blockchain de renombre es una buena señal para aquellos que no están seguros de si participar o no.

Pero cuando algunos logotipos se ven menos como una marca de calidad y más como una bandera roja, ¿qué cuenta como 'reputable'?

El mismo día en que se drenó su proyecto recientemente aprobado, el fundador de Certik se jactó de su volumen de auditorías en la industria.

Con el sello de aprobación de Certik en tantos proyectos de rekt, muchos están arrojando dudas sobre el valor de las empresas para el espacio.

Cabe señalar que, en su auditoría inicial, Certik sí planteó el tema de la confianza y recomendó que el protocolo tome medidas para descentralizar lo suficiente:

Aconsejamos al cliente que administre cuidadosamente la clave privada de la cuenta privilegiada para evitar cualquier riesgo potencial de ser vulnerado. En general, recomendamos enfáticamente que se mejoren los privilegios o roles centralizados en el protocolo a través de un mecanismo descentralizado o cuentas basadas en smart contracts con prácticas de seguridad mejoradas, por ejemplo, multisignature wallets.

Sin embargo, este problema fue marcado como 'Resuelto' por Certik, quien afirmó que el equipo de Merlin había prometido usar un multisig. Aparentemente, suficientes usuarios no leyeron la auditoría en su totalidad, o simplemente no se preocuparon por las implicaciones de confiar en el proyecto.

Al enfrentar más afirmaciones de que el código incluye una puerta trasera intencional, Certik claramente está sintiendo el calor. La firma está considerando un “plan de compensación comunitaria” para cubrir las pérdidas.

Las auditorías rápidas no deben considerarse garantía suficiente, especialmente para protocolos multimillonarios. También es necesaria cierta responsabilidad personal para mantenerse a salvo…

Ruggers gonna rug.

Y cuando muchos protocolos tienen problemas de centralización que potencialmente podrían conducir a un rug, y sin embargo son pasados por alto por simios FOMO-ing y airdrop hunters.

¿De quién es la culpa realmente?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.