• CertiK đang lên kế hoạch bồi thường cho vụ hack 1,82 triệu USD đối với Merlin DEX.
  • Công ty an ninh blockchain này đang phối hợp với zkSync để triển khai giao thức cơ bản cho nền tảng Merlin.
  • Hai tổ chức đã đồng ý trả khoản thưởng white hat 20%, kêu gọi kẻ khai thác trả lại 80% số tiền đã lấy cắp.

CertiK kêu gọi hacker trả lại 80% số tiền lấy cắp từ Merlin

CertiK, một công ty an ninh blockchain, đã lên kế hoạch bồi thường cho cuộc tấn công mạng khiến sàn giao dịch phi tập trung Merlin mất khoảng 1,82 triệu USD tài sản. Trong một diễn biến mới đây, công ty an ninh Web3 đã kêu gọi kẻ khai thác trả lại 80% số tiền đã lấy cắp và đề nghị khoản thưởng white hat 20%. Đáng chú ý, nhiều người cho rằng kẻ tấn công là một nhà phát triển lừa đảo.

CertiK đang hợp tác với zkSync Era, nền tảng mở rộng layer-2 (L2) của Ethereum mà Merlin được xây dựng trên đó, để triển khai kế hoạch bồi thường. Hai bên sẽ chi trả các khoản tiền bị mất trong quá trình bán chính thức các token MAGE của Merlin DEX.

Như đã thông báo trước đó, CertiK cam đoan rằng họ đang điều tra vụ tấn công. Trong số các kết quả tìm thấy, kẻ khai thác có trụ sở tại châu Âu. Công ty đã mời các cơ quan chức năng và các thành viên trong nhóm Merlin tham gia xây dựng kế hoạch bồi thường. Trích dẫn từ công ty an ninh:

"Các điều tra ban đầu cho thấy các nhà phát triển độc lập có trụ sở tại châu Âu và CertiK sẽ hợp tác với các cơ quan chức năng để tìm kiếm họ nếu các cuộc đàm phán trực tiếp không thành công."

Mặc dù người dùng của nền tảng nằm ngoài phạm vi của đợt kiểm tra hợp đồng thông minh (smart contracts), nhưng CertiK đã cam kết sẽ đưa ra các chính sách ưu tiên các private keys để giúp đỡ người dùng bị ảnh hưởng."

Lỗ hổng bảo mật của Merlin

Vào ngày thứ tư, 26 tháng 4, sau ba ngày kể từ khi bán chính thức các token MAGE, Merlin đã mất gần 850.000 USD Mỹ giá trị của đồng USD Coin (USDC), cùng với một số token kém thanh khoản khác. Dữ liệu blockchain cho thấy một kẻ tấn công đã kiểm soát được liquidity pool (LP) và rút tiền ra khỏi hệ thống.

Ngay sau đó, công ty bảo mật Blockchain PeckShield đã tiết lộ rằng kẻ tấn công đã gửi chiến lợi phẩm đến các sàn giao dịch, với 133.800 USDC được gửi tới MEXC Global và 31.000 USDC cho Binance.

Quá trình lấy cắp và chuyển tiền của hacker. Nguồn: PeckSheild

Đối với các kết luận ban đầu về vấn đề quản lý private keys, chuyên gia kiểm định mã nguồn CertiK của Merlin đã có phản hồi khi chỉ ra một "vấn đề tiềm ẩn về quản lý private keys".

Tuy nhiên, một số thành viên trên mạng xã hội Crypto Twitter đã đặt câu hỏi về việc kiểm định do CertiK thực hiện, cho rằng có thể đó là một vụ lừa đảo. Thanh Nguyen, người sáng lập Verichains, đã ám chỉ sự tồn tại của một "lỗ hổng" trong mã nguồn của Merlin, khẳng định đó là "một rủi ro bảo mật rõ ràng khi không có bất kỳ trường hợp sử dụng nào yêu cầu sự chấp thuận đó.

Theo một tuyên bố, CertiK đã lưu ý rằng "mặc dù các cuộc đánh giá có thể xác định các nguy cơ và lỗ hổng tiềm ẩn, nhưng chúng không thể ngăn chặn hoạt động độc hại từ các nhà phát triển như lừa đảo rug pulls." Do đó, công ty bảo mật blockchain đã cảnh báo người dùng nên chọn các dự án có 'KYC Badge', cung cấp thêm bảo mật, cho thấy rằng dự án đã tự nguyện trải qua quá trình đánh giá Know Your Customer (KYC).

CertiK cho biết rằng KYC giúp giảm và tránh nguy cơ đe dọa bên trong, như lừa đảo rug pulls, bên cạnh cam kết cung cấp thêm thông tin về kế hoạch bồi thường và điều tra của mình.