MERLIN DEX - REKT



Merlin klasik DeFi sihir numarasını yapınca 1,8 milyon dolar birdenbire puf diye kayboldu.

Yakın zamanda piyasaya sürülen zksync-L2-native bir DEX olan Merlin, token (MAGE) lansmanının bir parçası olarak 3 günlük bir “Likidite Üretim Etkinliği”nin ortasındaydı.

Alarm, Peckshield mesajı yaymadan önce verildi. Merlin daha sonra olayı doğruladı ve kullanıcılara önlem olarak harcama izinlerini iptal etmelerini tavsiye etti.

Liderlik tablosuna üç kez giren (Bahar 2021'deki BSC kan banyosu sırasında tekrar tekrar rekt olan) Merlin Labs ile karıştırılmaması gereken Merlin, saldırıdan sadece iki gün önce Certik tarafından yapılan ikinci denetimini geçmişti.

Merlin'in hikayesi de basit bir rug masalı olabilirdi; daha önce birçok kez dinlediğimiz bin bir masalın aynısı gibi...

Ancak bu seferki olayla Merlin, farkında olmayarak bazı denetim tarzlarının değerleri üzerinde bir tartışma da başlatmış oldu…

Kaynak: BeosinAlert

Rug mekanizması, kullanıcıların MAGE token satışının bir parçası olarak yatırdıkları likidite havuzlarını boşaltmanın basit bir örneğiydi.

Bu, havuzların deploy edilmesi üzerine Feeto adresine verilen max onaylarla mümkün oldu. Feeto adresini kontrol eden kişi/kişiler tüm varlıkların havuzunu boşaltabildi ve sonrasında bunlar ETH'e köprülendi.

Merlin'in kendi otopsisi, suçu doğrudan back-end dev ekibine yüklüyor. İleti dizisi, geliştiricilerin github profillerine bağlantılar içeriyor ve Sırp yetkililerle temasa geçildiğini belirtiyor.

Saldırganın adresi (içine fonların aktarıldığı): 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

Daha fazla ayrıntı ve adres için Beosin'in tam analizine bakabilirsiniz.

Ruglanan fonlar, Ethereum'a köprülendi, ETH ile swaplandı ve diğer adreslere aktarıldı.

Bu, mainnet’i Mart ayında başlatılan zkRollup olan zksync'teki ilk olaydır.

Yeni yaratılan ortamın hedef haline gelmesi pek de uzun sürmedi…

zksync, bu ayın başlarında Twitter hesapları hedef alındığında (muhtemelen bir kimlik avı kampanyası yürütmek için) zaten kıl payı kurtulmuştu.

Sektörümüzü ileriye taşımak için heyecan verici teknolojilerden yararlanan yeni ekosistemler geliştikçe, kötü aktörler de işlerinde asla geri kalmayacak.

Ve az çaba gerektiren para tuzakları, kullanıcılara rug pull yapanların ya da zayıf noktalara sahip olabilecek, aceleyle yayınlanmış kod arayışındaki potansiyel hackerların ağzını sulandıran bir bal küpü (honeypot) gibidir…


Genel anlamda, saygın bir blockchain güvenlik firması tarafından yapılmış bir denetim, protokolü kullanmak ve içeri girip girmeme konusunda emin olmayanlar için rahatlatıcı bir işarettir.

Ancak bazı logolar bir kalite işaretinden çok tehlike işareti gibi görünmeye başladığında, neyi 'saygın' olarak kabul edebiliriz ki?

Certik'in kurucusu, kısa süre önce onaylanan projesinin suyunun çekildiği gün, sektördeki pazarlık denetimlerinin hacmiyle övünmüştü.

Certik, pek çok rekt olan projelere onay damgası vurduğu için, bir çok kişinin firmanın alana verdiği değer konusunda inancı sarsılıyor.

İlk denetimde Certik'in güven konusunu gerçekten gündeme getirdiğini ve protokolün yeterince merkeziyetsizleşmesi için önlemler almasını tavsiye ettiğini de unutmamak gerekir:

Potansiyel saldırıya uğrama risklerinden kaçınmak için müşteriye ayrıcalıklı hesabın özel anahtarını dikkatli bir şekilde yönetmesini tavsiye ederiz. Genel olarak, protokoldeki merkezi ayrıcalıkların veya rollerin merkezi olmayan bir mekanizma veya çoklu imza cüzdanları gibi gelişmiş güvenlik uygulamalarına sahip akıllı kontrat tabanlı hesaplar yoluyla iyileştirilmesini şiddetle tavsiye ederiz.

Ancak bu sorun, Merlin ekibinin multisig kullanacağının sözünü verdiğini belirten Certik tarafından 'Çözüldü' olarak işaretlendi. Görünüşe göre yeterince kullanıcı denetimi tam olarak okumadı veya projeye güvenmenin sonuçları üzerine çok düşünmedi.

Kodun kasıtlı bir arka kapı içerdiğine dair başka iddialarla karşı karşıya kalan Certik, üzerindeki harareti net bir şekilde hissediyor. Firma, kayıpları karşılamak için bir “topluluk tazminat planı” düşünüyor.

Hızlı ve bozuk denetimler, özellikle multi-milyon dolarlık protokoller için yeterli güvence olarak görülmemelidir. Güvende kalmak için bazı kişisel sorumluluklar da almak gerekli…

Rugçılar ruglar.

Ve birçok protokol, potansiyel olarak bir rug’a yol açabilecek merkezileştirme sorunlarına sahip olduğunda bile, bu durum yine de FOMO yaşayan maymunlar ve airdrop avcıları tarafından göz ardı edilebilir…

Şimdi kabahat samur kürk olsa kim üstüne alacak?


bu makaleyi paylaş

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.