Blockchain-beveiligingsbedrijf bevriest $160K aan gestolen fondsen

Volgens CertiK, een slim contract auditing firma, is er $160.000 (circa €146.000) geblokkeerd van Merlin, een decentrale exchange gebaseerd op zkSync. Merlin was het middelpunt van een insider “rugpull” die gebruikers vorige week $1,8 miljoen heeft gekost.

Gestolen fondsen succesvol bevroren

Op 5 mei heeft CertiK zijn 257.700 volgers op Twitter op de hoogte gesteld van het nieuws dat $160.000 van de gestolen fondsen succesvol is bevroren met hulp van partners. CertiK heeft verklaard dat ze het gestolen geld blijven volgen om te zien waar het naartoe gaat.

Eerdere pogingen om geld terug te krijgen niet succesvol

CertiK heeft verklaard dat het heeft geprobeerd om samen te werken met Merlin om het geld terug te vorderen dat was gestolen tijdens de “rug pull” op 25 april. Helaas waren deze pogingen niet succesvol.

Als gevolg hiervan heeft CertiK contact opgenomen met wetshandhavers in de Verenigde Staten en het Verenigd Koninkrijk om te proberen de identiteit van de pseudonieme operators achter de aanval te achterhalen. Ze zeiden het volgende:

Dit gebrek aan samenwerking heeft onze inspanningen bemoeilijkt om slachtoffers te valideren en te helpen. We concentreren ons op het werken met wetshandhavers en hebben informatie ingediend bij relevante Amerikaanse en Britse instanties. Wij onderzoeken alle mogelijkheden om exit-scam te bestrijden met de $2 miljoen die we hebben toegezegd.

Malafide ontwikkelaars naar verluidt gevestigd in Europa

Volgens een eerder rapport gelooft het beveiligingsbedrijf dat de “malafide ontwikkelaars” in Europa zijn gevestigd.

Met betrekking tot de “rug pull” heeft CertiK verklaard: “Merlin-insiders hebben misbruik gemaakt van de wallet-privileges van de eigenaar”, wat consistent is met de eerste bevindingen dat het probleem voortkwam uit een privésleutelkwestie in plaats van een exploit.

Merlin beweert dat de “rug pull” is uitgevoerd door het back-end team, waarvan zij zeggen dat ze “een hoge mate van vertrouwen” hebben.

Medeverantwoordelijk voor onvoldoende informeren

In tegenstelling tot dat heeft CertiK erkend dat zij medeverantwoordelijk zijn voor het onvoldoende informeren van gebruikers over de risico’s van centralisatie.

Het bedrijf heeft verklaard dat zij in de toekomst meer aandacht zullen besteden aan deze kwestie in hun auditrapporten.

Wij werken eraan om de duidelijkheid van onze controlesamenvattingen in onze rapporten te verbeteren, vooral rond centralisatierisico’s, en om beter met de gemeenschap te communiceren over het doel van een controle.

CertiK heeft echter benadrukt dat slimme contractauditors niet volledig verantwoordelijk mogen worden gehouden voor het niet opsporen van “rugpulls”. Ze zeiden het volgende:

Code-audits zijn bedoeld om kwetsbaarheden aan het licht te brengen, niet om een mogelijke rugpull te detecteren. Het is belangrijk om te erkennen dat veel projecten, zowel groot als klein, te maken hebben met centralisatieproblemen, waarbij de overgrote meerderheid niet resulteert in een rugpull.

Om de verloren fondsen als gevolg van de “exit scam” te dekken, lanceerde het bedrijf op 27 april een compensatieplan van $ 2 miljoen. Het geld dat is toegezegd, zal worden gebruikt om exit-scams te voorkomen en slachtoffers waar mogelijk te helpen, voegde het bedrijf eraan toe.