DEX Merlin и CertiK пообещали возврат средств жертвам взлома на $2 млн

Разработчики децентрализованной биржи (DEX) Merlin на базе zkSync Era раскрыли детали эксплойта на сумму ~$2 млн и заявили о планах возмещения потерь пользователей.  

Merlin's Post-Mortem it is with deepest regret that we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform. In the early hours of this morning the several members of the Back-End Team drained all of our Contracts.— Merlin (@TheMerlinDEX) April 26, 2023 26 апреля основные пулы ликвидности только что запущенной платформы были опустошены.

Команда заявила об эксплойте и рекомендовала пользователям отозвать одобрения для всех смарт-контрактов. Подробностей в Merlin не раскрыли.

Пользователи обратили внимание, что 24 апреля, накануне запуска DEX, специалисты CertiK завершили повторный аудит кода платформы. Ряд экспертов обнаружил в ПО уязвимость, которая потенциально позволяла вывести все средства из пулов. Некоторые пользователи заподозрили реализацию проектом мошеннической схемы rug-pull.

В Merlin заявили, что средства пользователей вывели несколько членов технической команды.  

"Они провели несколько ончейн-транзакций, чтобы истощить пулы, произвести продажу и манипулировать нашими фронтенд-контрактами. Это было сделано через функцию, которая позволяла осуществить вызов для всех пар на платформе", — уточнили представители биржи.

По их словам, имело место "явное упущение в отношении всеобъемлющей власти" этой опции над всеми пулами со стороны проводивших аудит специалистов CertiK. Однако, в Merlin также признали, что разработчики бэкенда имели доступ к коду и могла внести изменения.

We had submitted all intended contracts to be used on our platform to Certik who carried out a full audit. However there has been a