Merlin, sàn giao dịch phi tập trung (DEX) chạy trên layer-2 zkSync, đã rug pull với số tiền 2 triệu USD. CertiK, đơn vị đã audit cho Merlin, đứng ra nhận trách nhiệm bồi thường thiệt hại.
Cập nhật vào sáng ngày 27/04/2023:
1 ngày sau khi phát hiện vụ việc, cuối cùng cộng đồng cũng chính thức xác nhận rằng Merlin đã rug pull, ôm tiền bỏ chạy chứ chẳng có hacker nào ở đây cả.
Cụ thể, dù đã được CertiK audit đầy đủ, đơn vị bảo mật này vẫn không thể đảm bảo được hành vi sai trái từ chính nội bộ dự án.
Theo thông tin từ Twitter Merlin, đã có một bộ phận thành viên trong đội back-end của dự án - những người có quyền kiểm soát các dòng mã code và private key - đã quyết tâm cuỗm tiền đi mất.
Các thành viên còn lại sẽ bắt tay với CertiK để cố gắng lấy lại số tiền đã mất, đồng thời liên hệ với cơ quan pháp lý để có biện pháp chế tài phù hợp.
Về phần mình, CertiK hứa hẹn sẽ có kế hoạch bồi thường 2 triệu USD cho người bị hại. Họ cũng bắt đầu truy vết danh tính kẻ xấu và xác định được nơi cư trú của bọn xấu là ở Sebria, châu Âu.
CertiK kêu gọi bọn xấu nên hoàn trả lại tiền và chấp nhận khoản whitehat bounty 20%. Như thế thì mọi chuyện có thể giải quyết êm đẹp, hơn là phải đối mặt với các chế tài pháp lý về sau.
Bài viết gốc:
Sáng ngày 26/04/2023 theo giờ Việt Nam, nhiều bên bảo mật blockchain cảnh báo rằng sàn DEX Merlin trên zkSync đang bị tấn công. Bọn tin tặc đã bòn rút tổng 1.823.477 USD từ Core Farming Pools của Merlin dưới dạng các đồng USDC, TAROT và ETH.
Hiện số tiền đánh cắp đang nằm trong hai ví:
1/ 0x0b8a3ef6307049aa0ff215720ab1fc885007393d
2/ 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
Kế đó, khoản tiền đã được hacker chuyển sang blockchain Ethereum.
Đáng chú ý là Merlin vừa được CertiK audit cách đây không lâu và mới bắt đầu public sale vào ngày hôm qua (25/04). Nhưng chưa đầy 24 giờ đã không thoát khỏi tầm ngắm của bọn hacker.
Dự án kêu gọi người dùng revoke nếu đã approve smart contract và cho biết vẫn đang trong quá trình điều tra vụ việc.
Về phía CertiK, đơn vị bảo mật vừa có báo cáo sơ bộ nhấn mạnh rằng nguyên nhân vụ việc đến từ lỗi private key chứ không phải lỗi đến từ các dòng mã code. Nghĩa là việc audit của CertiK hoàn toàn "uy tín", bị lỗi là đến từ khâu thao tác của dự án và người dùng. (?!)
Tuy nhiên, báo cáo này chưa được chứng thực và chúng ta vẫn chưa biết chắc chắn lý do gây ra vụ tấn công là gì.
zkSync gần đây nổi lên như một dự án layer-2 có khả năng airdrop cho người dùng. Vì thế mà cộng đồng đổ xô bridge tài sản sang zkSync để làm retroactive, cũng tạo ra mảnh đất màu mỡ để bọn scammer, hacker hoành hành. Vì thế, cộng đồng nên cảnh giác trước những thủ đoạn tinh vi và lời hứa hẹn "màu hường" như vậy.
Ngoài ra, bản thân zkSync cũng có nhiều lỗi về mặt kỹ thuật, gây rắc rối không nhỏ cho những dự án muốn xây dựng trên nó. Trước đó đã có trường hợp của GemholicECO mắc kẹt 921 ETH tiền mở bán token trên zkSync Era.
Coincuatui tổng hợp
Có thể bạn quan tâm:
Nguồn: Coin68