سرتیک 160 هزار دلار از وجوه سرقتشده از صرافی مرلین را مسدود کرد
پلتفرم حسابرسی قراردادهای هوشمند سرتیک (CertiK) ادعا کرد 160,000 دلار از 1.8 میلیون دلار دارایی بهسرقت رفته از صرافی غیرمتمرکز مرلین (Merlin) را مسدود کرده است
به گزارش واحد ترجمه ایران دکونومی، پلتفرم حسابرسی قراردادهای هوشمند سرتیک (CertiK) ادعا کرده است که 160,000 دلار از 1.8 میلیون دلار دارایی بهسرقت رفته از صرافی غیرمتمرکز مبتنی بر zkSync مرلین (Merlin) که اخیراً مورد یک حمله راگپول (rugpull) از سوی عوامل داخلی قرار گرفته بود را مسدود کرده است.
این پلتفرم خبر مسدود کردن موفقیتآمیز 160 هزار دلار از وجوه دزدیده شده را روز 5 می (صبح جمعه، 15 اردیبهشت) در توییتر با 257700 دنبال کننده خود به اشتراک گذاشت:
«ما 160 هزار دلار از وجوه دزدیده شده را با کمک شرکای خود با موفقیت مسدود کردیم و همچنان به نظارت بر جابهجایی تمام وجوه دزدیده شده ادامه داده و برای مسدود کردن و بازیابی باقی مبالغ، ادامه خواهیم داد.»
سرتیک اذعان داشته است که قبلاً سعی کرده است با همکاری مرلین وجوه دزدیده شده از حمله “راگپول” روز 25 آوریل (5 اردیبهشت) را بازیابی کند، اما این تلاش بیفایده بوده است. همین امر باعث شد که این شرکت برای کشف هویت مهاجم با مجریان قانون در ایالات متحده و بریتانیا تماس بگیرد. این شرکت امنیتی معتقد است که مهاجمین مسئول این حمله احتمالاً در اروپا مستقر هستند.
سرتیک (CertiK) در مورد این کلاهبرداری خروج، گفت: «عوامل خودی در صرافی مرلین از امتیازات کیف پول مالک سوءاستفاده کردهاند»، این ادعا با یافتههای اولیه آن مبنی بر اینکه این کلاهبرداری به دلیل بروز یک مشکل در کلید خصوصی بوده است مطابقت دارد.
از طرف دیگر، صرافی مرلین ادعا میکند که این حمله راگپول توسط تیم پشتیبان آن انجام شده است. درحالی که مدیران صرافی اعتماد بسیار زیادی به آنها داشتهاند. مرلین در این خصوص گفت:
«ما عمیقاً از اقدامات تیم فنی خود که متاسفانه به آنها اعتماد زیادی داشتیم ابراز تاسف میکنیم. مرلین به حمایت از جامعه خود و حل این مشکل ادامه خواهد داد.»
از سوی دیگر، سرتیک عدم اطلاعرسانی صحیح به کاربران در مورد خطرات متمرکز را نیز دلیل دیگر موفقیت مهاجمان میداند. این شرکت در یادداشتی به کوین تلگراف گفته است که در خلاصههای حسابرسی آینده تأکید بیشتری بر این موضوع خواهد داشت.
با این حال سرتیک تاکید کرده است که حسابرسان قراردادهای هوشمند نباید به طور کامل در قبال عدم شناسایی حملات راگپول مسئول شناخته شوند:
«ممیزی کد قراردادهای هوشمند با هدف کشف آسیبپذیریها انجام میشود، نه شناسایی احتمال یک حمله راگپول بالقوه. این مهم است که بدانیم بسیاری از پروژههای بزرگ و کوچک مشکلات متمرکز زیادی دارند، ولی اکثریت قریب به اتفاق آنها منجر به چنین حملاتی نمیشوند.»
این شرکت یک طرح غرامت 2 میلیون دلاری را برای پوشش وجوه از دست رفته در نتیجه “کلاهبرداری خروج” روز 27 آوریل (7 اردیبهشت) نیز درنظر گرفته است. این شرکت افزود که وجوه درنظر گرفته شده برای جلوگیری از بروز کلاهبرداریهای خروج و کمک به قربانیان استفاده میشود.
سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمیگردد.
مترجم: مرضیه مظاهری
ویراستار: تارا هدایتی
منبع: cointelegraph