Merlin, eine Ethereum-basierte dezentrale Börse (DEX), hat bei einem Liquiditätspool-Hack mehr als 1,8 Millionen Dollar verloren. Der Angriff fand während eines öffentlichen Verkaufs von Merlins nativem Token MAGE statt. Der/die Hacker hat/haben mehrere Kryptowährungs-Assets gestohlen, darunter Ethereum (ETH), USD Coin (USDC) und andere illiquide Token.
Merlin nutzt Zero-Knowledge-Sync (zkSync), um seine dezentralisierten Austauschplattformen zu verwalten. Einige Stunden nach dem Hack twitterte die Sicherheitsfirma CertiK, dass sie den Vorfall untersuche, um seine Auswirkungen auf die Community zu verstehen. Es sagte auch, dass seine ersten Ergebnisse darauf hindeuten, dass es sich um ein Problem mit der Verwaltung privater Schlüssel handeln könnte, was bedeutet, dass es sich um einen Hack und nicht um einen Exploit handelte, wie allgemein angenommen.
CertiK führte am 24. April 2023 eine Prüfung des Codes von Merlin durch und empfahl Merlin, seine „zentralisierten Rollen für den dezentralisierten Mechanismus wie Multi-Signatur-Wallets zu verbessern, um die Sicherheitspraktiken zu verbessern“. Außerdem wurde Merlin gebeten, eine Timelock-Funktion mit einer Latenzzeit von mindestens 48 Stunden zu implementieren, um eine zentrale Schlüsselverwaltung zu vermeiden. CertiK versprach auch, mit den zuständigen Behörden zusammenzuarbeiten, falls etwas auftauchen sollte.
Während der Hacker, den CertiK für einen abtrünnigen Entwickler hält, aufgefordert wird, 80 % der gestohlenen Gelder zurückzugeben, bot die Sicherheitsfirma dem Hacker eine Prämie von 20 % White Hat an. In einer Erklärung gegenüber einem renommierten Medienunternehmen vom 26. April bekräftigte CertiK, dass es den Austrittsbetrug untersucht, und hat auch das verbleibende Merlin-Team beauftragt, den Vergütungsplan einzuleiten.
CertiK untersucht einen Community-Entschädigungsplan, um die rund 2 Millionen US-Dollar an Benutzergeldern abzudecken, die beim Merlin DEX Rug Pull verloren gegangen sind. Erste Untersuchungen deuten darauf hin, dass die betrügerischen Entwickler in Europa ansässig sind, und wir arbeiten mit den Strafverfolgungsbehörden zusammen, um sie aufzuspüren.
CertiK stellte außerdem fest, dass die Privilegien privater Schlüssel „zur Unterstützung betroffener Benutzer verpflichtet“ sind, obwohl sie nicht in den Geltungsbereich einer intelligenten Vertragsprüfung fallen. Der Hack von Merlin wirft Fragen über die höhere Sicherheit von dezentralen Austauschplattformen auf und unterstreicht die Bedeutung von Sicherheitsauditoren in der Kryptowelt. Es bleibt abzuwarten, wie sich der Fall weiterentwickelt und ob es eine Entschädigung für die Benutzer von Merlin geben wird.
