Протокол Merlin Labs - R3KT

Фокус Мерлина со шляпой.

Третий раз для Merlin Finance прошел как по волшебству.

Почему люди возвращаются туда снова и снова?

Итог: украдено $330k, в результате чего их значение TVL (total value lost - *общей потерянной стоимости) достигло $1,560,000, и поставило их наравне с Value DeFi как один из немногих протоколов с такой слабой безопасностью, что у них по три позиции в рейтинге rekt.

"Мадам Мерлин" написала следующее сообщение в группе Телеграм проекта Merlin.

Спасибо за ваше терпение. Было установлено, что это был экономический эксплоит.

Команда разработчиков Merlin развернула хранилища одиночных активов Alpaca в главной сети для тестирования сегодня утром. Не предполагалось, что это хранилище будет общедоступным или готовым к публичному запуску.

Неизвестный хакер сделал депозит 0.1 WBNB через смарт-контракт в хранилище, и затем вручную перевел 1000 BNB в контракт, чтобы обмануть контракт и заставить его думать, что он получил 1000 BNB в виде вознаграждения, в результате чего минтер произвел вознаграждение в MERL.

Мы благодарны вам за ваше терпение.

Спасибо за ваше терпение?!

В этот момент они должны были просто попросить прощения.

Источник: RugDoc

Кошелек эксплоитера: 0x2bADa393e53D0373788d15fD98CB5Fb1441645BD

Система вознаграждения Merlin выдавала пользователям токены за каждый $ комиссии за производительность, которую они приносили в протокол.

Она присваивала 35 MERL (~$500 на тот момент) за каждый BNB (стоимостью ~$300).

В момент расчета прибыли стратегии полученные BNB конвертировались в WBNB.

Увеличение баланса WBNB тогда рассматривалось как прибыль.

Если BNB посылаются напрямую в контракт, они также конвертируются в WBNB и считаются "прибылью".

Делая депозит BNB в контракт, хакер смог собрать улов и все эти BNB были расценены как вознаграждаемая прибыль.

Прямиком в ETH, затем Tornado и деньги испарились.

У Merlin Labs тяжелые времена.

После потери главного инженера и будучи вынужденным рекламировать вакансию, похоже что этот волшебник не только растерял свою команду, но и магию тоже.

Нужно попытаться получше.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.