Merlin, la nouvelle DEX, basée sur zkSync, a perdu 1,8 million de dollars lors d’un exploit
Ce mercredi matin, Merlin, une nouvelle plateforme d’échange décentralisée (DEX) et basée sur zkSync, a été victime d’un vol de plus de 1,8 million de dollars. Cet exploit est survenu au cours de la prévente publique de ses jetons mage (MAGE).
Les pirates ont emporté avec eux des jetons MAGE d’une valeur de 850 000 dollars (USDC). Ils ont également soutiré d’autres jetons dont la liquidité n’était pas très élevée.
Un piratage de la plateforme Merlin opéré en interne par son équipe technique
Selon les données de la blockchain, il semblerait qu’une entité contrôlant le pool de liquidités soit parvenue à facilement vider les fonds. Cela signifie donc que cette attaque ne constituait pas un exploit complexe ou sophistiqué.
Malgré l’audit réalisé par CertiK, une société spécialisée dans la sécurité des blockchains, l’attaque en question s’est produite. Les données du site web de CertiK montrent que l’audit a conclu qu’il n’y avait pas de constatations critiques.
C’est au cours d’un événement de trois jours que Merlin a soumis ses jetons MAGE à une prévente publique auprès des investisseurs. Cette prévente ne comportait pas de plafond absolu.
Ainsi, au cours de cette prévente, le jeton $MAGE se négociera à partir de 45 dollars, pour une valorisation boursière de 850 000 dollars. Mardi, les développeurs de Merlin ont déclaré que le montant total recueilli au cours de cette prévente déterminera le prix final des jetons pour tous les utilisateurs.
Les développeurs de Merlin ont tardé avant de publier un communiqué concernant ce piratage des fonds survenu mercredi matin. Ils ont fini par le faire sur le compte officiel de la plateforme et dans ce message, ils déclarent :
“Rapport post-mortem de Merlin. C’est avec le plus grand regret que nous devons vous informer d’une défaillance majeure dans l’intégrité structurelle et les contrôles de la plateforme Merlin. Aux premières heures de ce matin, plusieurs membres de l’équipe Back-End ont vidé tous nos contrats.”
Dans un autre tweet, les développeurs ajoutent :
“Nous sommes profondément attristés par les actions de l’équipe technique, en qui nous avons placé une grande confiance. Merlin continuera à soutenir notre communauté et compte bien résoudre le problème.”
La plateforme a également fait savoir que son enquête sur cette fraude lui a permis de traquer les deux portefeuilles utilisés par l’équipe technique à l’origine de ce vol. Elle a aussi fait savoir qu’elle collaborait avec les autorités serbes, où se trouvent probablement les pirates, afin de rentrer en possession des fonds volés.
Par ailleurs, la plateforme affirme que les utilisateurs victimes de l’attaque seront remboursés. En effet, elle soutient que :
“La restitution de tous les fonds aux personnes concernées et aux participants à la plateforme Merlin dans les plus brefs délais est notre priorité absolue. À cette fin, nous travaillons avec @Certik (…) pour rembourser tous les utilisateurs concernés.”
CertiK étudie comment compenser les utilisateurs victimes de cette fraude
Selon les données de la blockchain Merlin, fournies par Arkham Intelligence, au total, 1,82 million de dollars ont été volés. Les fonds ont été transférés sur le réseau Ethereum avant leur conversion en éther.
CertiK, la société qui a vérifié le code de Merlin, a déclaré sur Twitter qu’elle “étudiait les modalités permettant de compenser la communauté avec ZKSync”. Elle a aussi déclaré qu’elle ” collaborait avec les forces de l’ordre ” afin de retrouver les ” développeurs malhonnêtes “, qui sont sûrement basés en Europe. La société a également offert aux pirates une prime de 20 % et les a invités à restituer le reste des fonds en échange.
Par ailleurs, avant la publication de son rapport, la société a précisé qu’elle avait ” relevé les failles relatives aux privilèges des clés privées dans le rapport d’audit ” de Merlin.
