تحث شركة الويب 3.0 الأمنية، المطورين المخادعين على إعادة 80٪ من الأموال المسروقة، وتقترح منح 20٪ منها كمكافأة للمتخصصين في الأمن السيبراني.
أعلنت شركة CertiK الأمنية عن خطتها المُقترحة لتعويض المبلغ الذي فُقد خلال عملية البيع العام لتوكن MAGE، والتي أطلقتها بورصة التبادل اللامركزي Merlin.
ففي تصريح لـكوينتيليغراف في 26 أبريل، أعادت منصة سيتريك التأكيد على بدء التحقيقات في عملية الاحتيال التي حدثت، كما أنها أعلنت أنها تعمل مع فريق Merlin الباقي، لبدء خطة التعويض، حيث قالت:
"تشير التحقيقات الأولية إلى وجود المطورين المخادعين في أوروبا، وستتعاون CertiK مع السلطات القانونية لتتبعهم إذا لم تنجح المفاوضات المباشرة."
كما حثت شركة الأمن المُتخصصة في تكنولوجيا البلوكتشين، المطورين المخادعين على إعادة 80٪ من الأموال المسروقة، وتخصيص 20٪ كمكافأة لخبراء الأمن السيبراني. وأشارت الشركة إلى أن امتيازات التي تُوفرها المفاتيح الخاصة "ستكون مُوجهة لمساعدة المستخدمين المتأثرين" على الرغم من كونهم خارج نطاق تدقيق العقود الذكية.
حيث خسرت بورصة Merlin ما يقدر بـ 850,000 دولار من عملة USD Coin (USDC) وبعض التوكنات غير السائلة نسبياً، في 26 إبريل، خلال عملية بيع توكن MAGE التي استمرت لمدة ثلاثة أيام، والتي لم يتم تحديد سقف ثابت لها. وتشير بيانات البلوكتشين إلى أن المُخترق الذي كان يتحكم في مجمع السيولة كان قادراً على سحب الأموال بسهولة.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
هذا وقد ردت منصة سيتريك الأمنية، التي قامت بمراجعة وتدقيق الكود البرمجي لبورصة Merlin، بأن نتائجها الأولية تشير إلى وجود "مشكلة محتملة في إدارة المفتاح الخاص".
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
إلا أن جمهور الكريبتو على تويتر شكك في عملية التدقيق التي أجرتها منصة CertiK، حيث ألمح العديد من المستخدمين إلى إمكانية حدوث تلاعُب ما.
فقد أشار Thanh Nguyen، مؤسسVerichains، إلى وجود "ثغرة" في الكود البرمجي لبورصة Merlin، واصفاً إياها بأنها "خطر أمني واضح حيث لا توجد أي حالة استخدام تتطلب موافقتها".
3/4 However, in the Merlin code, there is a "backdoor" code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
من جهتها قالت شركة سيرتيك في بيانٍ لكوينتيليغراف: "بالرغم من أن عمليات التدقيق يمكن أن تحدد المخاطر ونقاط الضعف المحتملة، إلا أنها لا تستطيع منع الأنشطة الضارة التي يمكن أن يقوم بها المطورون المخادعون، مثل عمليات سحب البساط." كما أضافت: "نحن نشجع المستخدمين على البحث عن المشاريع التي تحمل شارة "KYC"، والتي تُعتبر طبقة إضافية من الأمان، وتدل على أن المشروع قد تم فحصه وتدقيقه طواعيةً من خلال العمليات التي تعرف باسم "اعرف عميلك" أو "KYC".
مقالات ذات صلة: Ordinals Finance has conducted a $1M rug pull: CertiK
حيث أوضحت الشركة أن القيام بذلك يمكن أن يساعد في تقليل وتخفيف مخاطر التهديدات الداخلية، بما في ذلك عمليات "سحب البساط". كما تعهدت الشركة بتقديم تحديثات حول خطة التعويض وعملية التحقيق المستمرة للحفاظ على شفافية المعلومات وتقديم الأمان لمستخدمي البورصة.
تنويه: تم تحديث هذه المقالة لتعكس أن منصة سيتريك هي فقط من اقترح خطة تعويض الأضرار الحاصلة بعد استغلال ثغرة DEX في بورصة Merlin
