Peninjau kontrak pintar CertiK mengatakan telah mengunci $160.000 dari Merlin, pertukaran berbasis zk-Sync (DEX) terdesentralisasi yang menjadi fokus “rugpull” orang dalam nakal yang kehilangan pengguna $1,8 juta minggu lalu.
CertiK bersama berita tentang keberhasilannya membekukan dana curian senilai $160.000 dalam pembaruan untuk 257.700 pengikut Twitter-nya pada 5 Mei.
“Kami telah berhasil membekukan $160.000 dari dana yang dicuri dengan bantuan mitra,” kata CertiK, menambahkan bahwa mereka terus memantau pergerakan dana yang dicuri:
Kami berhasil membekukan $160.000 dana curian dengan bantuan dari mitra. Kami akan terus memantau pergerakan semua dana yang dicuri dalam upaya membekukan dan memulihkan jumlah yang tersisa.
— CertiK (@CertiK) 4 Mei 2023
Perusahaan mengatakan telah mencoba untuk “berkolaborasi” dengan Merlin untuk memulihkan dana yang dicuri dari Sweater Karpet 25 April”.“tapi usahanya sia-sia.
Ini menyebabkan perusahaan menghubungi lembaga penegak hukum di AS dan Inggris dalam upaya untuk menemukan identitas operator dengan nama samaran:
“Kurangnya kerja sama ini memperumit upaya kami untuk memvalidasi dan membantu para korban. Kami berfokus untuk bekerja sama dengan penegak hukum dan telah meneruskan informasi ke lembaga AS dan Inggris yang relevan.”
“Kami menjajaki semua kemungkinan untuk melawan penipuan outbound dengan $2 juta yang telah kami janjikan,” tambah CertiK.
Perusahaan keamanan percaya “pengembang nakal” yang berbasis di Eropa, Kedua ke postingan sebelumnya.
Mengenai penipuan keluar, CertiK mengatakan “Orang dalam Merlin menyalahgunakan hak istimewa pemilik dompet,” yang konsisten dengan awalnya menemukan bahwa itu berasal dari masalah kunci pribadi dan bukan eksploitasi.
Merlin mengklaim bahwa lemparan ke atas matras dilakukan oleh tim back-endnya, yang mereka katakan telah menempatkan “tingkat kepercayaan yang tinggi”.
Kami sangat sedih dengan tindakan tim teknis, yang sangat kami percayai. Merlin akan terus mendukung komunitas kami dan memperbaiki masalahnya.
— Merlin (@TheMerlinDEX) 26 April 2023
CertiK, di sisi lain, disalahkan karena tidak memberi tahu pengguna dengan benar tentang risiko sentralisasi.
Dalam sebuah catatan untuk Cointelegraph, perusahaan tersebut mengatakan akan lebih menekankan hal ini di masa depan ringkasan audit.
“Kami sedang bekerja untuk meningkatkan kejelasan ringkasan audit kami dalam laporan kami, khususnya mengenai risiko sentralisasi, dan untuk berkomunikasi lebih baik dengan masyarakat tentang tujuan audit.”
Kedepannya, CertiK akan memprioritaskan risiko sentralisasi dalam ringkasan audit untuk memastikan pengguna memiliki gambaran lengkap tentang potensi risiko.
Kami menyadari bahwa laporan audit dapat menjadi dokumen yang sangat teknis dan merupakan tugas kami untuk mengomunikasikan risiko secara jelas dan transparan.
— CertiK (@CertiK) 4 Mei 2023
Namun CertiK menunjukkan bahwa auditor kontrak pintar tidak boleh bertanggung jawab penuh atas kegagalan untuk mengidentifikasi tarikan kontrak pintar:
“Audit kode dimaksudkan untuk menemukan kerentanan, bukan untuk mendeteksi potensi rugpull. Penting untuk diketahui bahwa banyak proyek, baik besar maupun kecil, telah melaporkan masalah sentralisasi, dan sebagian besar tidak menghasilkan karpet, ”kata perusahaan itu.
Perusahaan diluncurkan rencana kompensasi $2 juta untuk menutup dana yang hilang akibat “penipuan keluar” tanggal 27 April.
Perusahaan menambahkan bahwa dana yang dijanjikan akan digunakan untuk mencegah penipuan keluar dan membantu korban jika memungkinkan.
Majalah: Audit kripto dan hadiah bug tidak berfungsi – inilah cara memperbaikinya