DEX Merlin e CertiK prevedono di risarcire 2 milioni di dollari agli utenti colpiti dal Rug Pull

Merlin, l'exchange decentralizzato (DEX) basato su ZkSync, prevede di risarcire gli utenti colpiti da un'operazione di prelievo di quasi 2 milioni di dollari con la società di revisione contabile blockchain CertiK, ha dichiarato un rappresentante di CertiK a CoinDesk in un'e-mail di giovedì.

Un rug pull è un tipo di exit scam in cui i perpetratori creano un nuovo token, lanciano un pool di liquidità per esso e lo abbinano a un token di base, come ether (ETH) o una stablecoin come DAI (DAI). Un pool di liquidità è un grande pool di token che un protocollo utilizza per soddisfare le negoziazioni, al contrario di un sistema di order book in cui acquirenti e venditori elencano i loro ordini di negoziazione e aspettano di essere soddisfatti.

"CertiK sta indagando attivamente sulla recente truffa di uscita di Merlin DEX, in cui si sospetta che sviluppatori non autorizzati abbiano causato la perdita di circa 2 milioni di $ in fondi degli utenti", ha affermato il rappresentante. "Lavorando a stretto contatto con il team Merlin rimanente, CertiK avvierà un piano di compensazione per coprire i fondi persi per gli utenti interessati".

"Le indagini iniziali indicano che gli sviluppatori non autorizzati hanno sede in Europa e CertiK collaborerà con le autorità competenti per rintracciarli se la negoziazione diretta non avrà successo", hanno aggiunto.

Lo sviluppatore non autorizzato è invitato a restituire l'80% dei fondi rubati e ad accettare una ricompensa white-hat del 20%, ha affermato CertiK. Da parte sua, CertiK ha sottolineato che, sebbene i privilegi della chiave privata siano al di fuori dell'ambito di un audit di smart contract, si impegna ad assistere gli utenti interessati in questo caso.

Merlin è stato apparentemente sfruttato per oltre 1,8 milioni di $ mercoledì mattina durante una vendita pubblica dei suoi token mage (MAGE). L'attacco è avvenuto nonostante Merlin abbia pubblicizzato un audit condotto dalla società di sicurezza blockchain CertiK.

Ulteriori analisi condotte da aziende e analisti hanno affermato che l’attacco è stato condotto da uno sviluppatore non autorizzato che deteneva le chiavi private degli smart contract di Merlin, consentendo loro di ritirare tutta la liquidità dal protocollo.