CriptoFácil - A exchange descentralizada (DEX) baseada na solução de camada 2 zkSync Era sofreu um ataque promovido por parte de sua equipe de desenvolvimento que resultou na perda de cerca de US$ 2 milhões.
O golpe ocorreu durante uma venda pública do token nativo da DEX, o MAGE e após a auditoria da CertiK. De acordo com uma publicação no Twitter, a empresa de auditoria está explorando um plano de compensação:
“A CertiK está explorando um plano de compensação da comunidade para cobrir os cerca de US$ 2 milhões em fundos de usuários perdidos no rug pull da DEX Merlin. As investigações iniciais indicam que os desenvolvedores desonestos estão na Europa e estamos trabalhando com as autoridades para rastreá-los.”
Um rug pull (puxão de tapete, em português) é um tipo de fraude em que os desenvolvedores de um projeto de criptomoeda enganam os investidores vendendo um grande número de tokens, prometendo grandes lucros e, em seguida, abandonam o projeto e desaparecem com o dinheiro dos investidores.
CertiK vai reembolsar vítimas do golpe da Merlin
Ainda no Twitter, a CertiK pediu que os desenvolvedores desonestos aceitem uma recompensa de 20% para devolver os 80% dos fundos restantes. A empresa reiterou ainda que, embora tenha levantado os problemas de privilégio de chave privada no relatório de auditoria, quer ajudar os usuários afetados.
“Estamos determinados a rastrear aqueles que estão por trás desse rug pull e divulgaremos mais detalhes da compensação em breve”, tuitou a CertiK.
Em nota, a empresa de segurança afirmou que está trabalhando em estreita colaboração com a equipe Merlin restante. Além disso, disse que vai colaborar com as autoridades policiais para rastrear os autores do golpe se não tiver sucesso com a negociação direta.
Detalhes do golpe
Na quarta-feira (26), quando o ataque ocorreu, a equipe da DEX Merlin recomendou que os usuários revogassem as suas carteiras/permissão de assinatura por precaução. Além disso, a equipe disse que estava “analisando a exploração do protocolo”.
Uma análise mais aprofundada descobriu que o ataque foi conduzido por um desenvolvedor desonesto que possuía as chaves privadas para os contratos inteligentes da Merlin, permitindo que a pessoa retirasse toda a liquidez do protocolo.