zkSync : le DEX Merlin rug pull pour 1,82 million de dollars juste après avoir reçu un audit
Merlin, un nouveau DEX lancé sur zkSync, a subi un rug pull de près de 2 millions de dollars pendant sa vente publique de jetons MAGE. L'équipe technique responsable avait implanté un code malicieux en dépit d'un très récent audit de la firme de sécurité blockchain CertiK. Des poursuites ont été engagées contre les responsables, qui seraient localisés en Serbie.
le 27 avril 2023 à 14:00.
2 minutes de lecture
Le projet Merlin se fait rug pull
Un rug pull pour le moins étrange a eu lieu hier, mercredi 26 avril, sur l'exchange décentralisé (DEX) Merlin, récemment lancé sur le réseau zkSync. Le DEX, qui venait de subir un audit de la firme de sécurité blockchain CertiK, a ainsi vu ses pools de liquidité vidées pour un peu moins de 2 millions de dollars en pleine vente publique de son token MAGE.
Ainsi, dans un premier temps, l'audit a naturellement été pointé du doigt puisqu'un hack semblait alors l'hypothèse la plus probable. De son côté, CertiK a d'abord indiqué que ses premières conclusions pointaient davantage vers « un potentiel problème de gestion de clés privées » plutôt qu'à un hack ou à l'exploitation d'une faille.
Finalement, il semblerait que ce soit l'équipe technique en charge du projet qui ait implanté un code malicieux dans la structure du DEX.
Merlin's Post-Mortem
it is with deepest regret that we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform.
In the early hours of this morning the several members of the Back-End Team drained all of our Contracts.
— Merlin (@TheMerlinDEX) April 26, 2023
« C'est avec le plus grand regret que nous devons vous informer d'une défaillance majeure dans l'intégrité structurelle et les contrôles de la plateforme Merlin. Aux premières heures de ce matin, plusieurs membres de l'équipe Back-End ont vidé tous nos contrats. »
L'équipe du projet ajoute, plus loin :
Zengo : le wallet mobile ultra-sécurisé pour vos cryptos« Nous avons soumis tous les contrats prévus pour être utilisés sur notre plateforme à Certik qui a effectué un audit complet. Cependant, il y a eu un oubli clair sur le pouvoir primordial que le _owner [ligne de code concernée, NDLR] avait sur les pools. De plus, l'équipe back-end, qui a également accès à notre hébergeur, a manipulé notre code à son insu pour atteindre son objectif. »
Des poursuites engagées contre les coupables
Dans son communiqué, l'équipe de Merlin ajoute que l'équipe technique responsable du rug pull serait localisée en Serbie, et que les autorités locales ont été contactées en conséquence. Par ailleurs, les fonds continuent à être tracés dans en coopération avec des analystes on-chain.
CertiK a depuis publié un communiqué informant sa communauté que les fonds dérobés seraient remboursés à leurs détenteurs, et que « de plus amples informations » seront communiquées à ce sujet. CertiK précise que « même après avoir soulevé les problèmes de clé privée » dans son audit, elle souhaite participer au remboursement des utilisateurs lésés.
1/ CertiK is exploring a community compensation plan to cover the ~$2M of user funds lost in the Merlin DEX rug pull. Initial investigations indicate that the rogue developers are based in Europe, and we are working with law enforcement to track them down.
⬇️⬇️⬇️
— CertiK (@CertiK) April 26, 2023
Ainsi, un marché a été proposé aux individus coupables : le retour de 80 % des fonds en échange des 20 % restants et de l'abandon des poursuites. Le DEX Merlin, qui venait juste de se lancer, n'a désormais plus aucune liquidité alors que la vente de son token est toujours en cours.
? Dans l'actu DeFi - DeFi : Uniswap génère plus de 70 % du volume des exchanges décentralisés (DEX)
Ledger : la meilleure solution pour protéger vos cryptomonnaies
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.
Maximilien Prué
1205 articles
