El auditor de contratos inteligentes CertiK afirma haber bloqueado $ 160,000 de Merlin, un intercambio descentralizado (DEX) basado en zk-Sync que ha sido el centro de un «rugpull» interno deshonesto que perdió a los usuarios $ 1.8 millones la semana pasada.
CertiK compartido la noticia de su congelación exitosa de $160,000 de los fondos robados en una actualización a sus 257,700 seguidores en Twitter el 5 de mayo.
“Hemos congelado con éxito $160,000 de los fondos robados con la ayuda de socios”, dijo CertiK, y agregó que continúan monitoreando el movimiento de los fondos robados:
La firma explicó que intentaron “colaborar” con Merlin para recuperar los fondos robados del “rugpull” del 25 de abril, pero el esfuerzo fue en vano.
Llevó a la firma a comunicarse con las fuerzas del orden en los Estados Unidos y el Reino Unido en un intento por descubrir las identidades de los operadores seudónimos:
“Esta falta de cooperación ha complicado nuestros esfuerzos para validar y ayudar a las víctimas. Nos estamos enfocando en trabajar con las fuerzas del orden y hemos enviado información a las agencias relevantes de EE. UU. y el Reino Unido”.
“Estamos explorando todas las posibilidades para luchar contra las estafas de salida con los 2 millones de dólares que hemos comprometido”, agregó CertiK.
La empresa de seguridad cree que los «desarrolladores deshonestos» tienen su sede en Europa, de acuerdo a a una publicación anterior.
En cuanto a la estafa de salida, CertiK dijo que «los miembros de Merlin abusaron de los privilegios de la billetera del propietario», lo cual es consistente con su declaración inicial. hallazgo que provino de un problema de clave privada en lugar de un exploit.
Merlin afirma que el tirón de la alfombra fue llevado a cabo por su equipo de back-end, en el que afirman haber depositado un «alto grado de confianza».
Relacionado: Las estafas, los exploits y los hackeos de criptomonedas de abril provocaron una pérdida de USD 103 millones — CertiK
CertiK, por otro lado, se atribuyó parte de la culpa por no informar adecuadamente a los usuarios sobre los riesgos de la centralización.
En una nota a Noticias Blockchain, la firma dijo que pondría más énfasis en esto en futuros resúmenes de auditoría.
“Estamos trabajando para mejorar la claridad de nuestros resúmenes de auditoría en nuestros informes, especialmente en torno a los riesgos de centralización, y para comunicarnos mejor con la comunidad sobre el propósito de una auditoría”.
CertiK, sin embargo, enfatizó que los auditores de contratos inteligentes no deben ser considerados totalmente responsables por no identificar los tirones de la alfombra:
“Las auditorías de código tienen el propósito de descubrir vulnerabilidades, no para detectar un posible problema. Es importante reconocer que muchos proyectos, tanto grandes como pequeños, tienen problemas de centralización señalados, y la gran mayoría no resulta en un jaleo”, dijo la firma.
La firma lanzado un strategy de compensación de $2 millones para cubrir los fondos perdidos como resultado de la “estafa de salida” el 27 de abril.
La firma agregó que los fondos prometidos se utilizarán para evitar estafas de salida y ayudar a las víctimas cuando sea posible.
Revista: Las auditorías criptográficas y las recompensas por errores están rotas: así es como se solucionan
