DEX Merlin di zkSync Kena Rug Pull, Dua Juta USD Melayang!

Decentralized Exchange atau DEX, Merlin, yang bekerja di jaringan zk-Sync kena eksploitasi dan mengakibatkan dua juta dollar amerika hilang. 

Merlin mengungkapkan pada hari Kamis (26/4) insiden tersebut diakibatkan oleh skema rug pull yang dilakukan oleh anggota dan tim pengembang Merlin yang tidak bertanggung jawab. Mereka memanipulasi kode protokol untuk mencapai tujuan mereka.

Apa yang terjadi pada DEX di zkSync? 

Liquidity pool Merlin terkuras pada hari Rabu (25/4), beberapa jam setelah platform analisis keamanan blockchain, CertiK, mengaudit kode protokol. DEX sedang melakukan penjualan publik token aslinya, MAGE, saat penyerang melakukan peretasan.

Setelah dianalisis CertiK melihat peristiwa tersebut menunjukkan bahwa ada  masalah manajemen kunci pribadi yang mungkin telah menyebabkan insiden tersebut.

Perusahaan keamanan tersebut juga mengungkapkan bahwa mereka telah menunjukkan risiko sentralisasi dalam audit yang dilakukan pada hari Senin dan merekomendasikan agar Merlin beralih ke mekanisme desentralisasi untuk menghindari satu titik kegagalan utama.

Setelah analisis lebih lanjut, Merlin dan CertiK menemukan bahwa peretasan tersebut adalah pekerjaan orang dalam dari tim protokol. Tim back-end menerapkan fungsi call-action yang memberi mereka kekuasaan atas kontrak dan semua pasangan perdagangan di kumpulan likuiditas.

Pengembang juga dapat memanipulasi kontrak front-end dan host web Merlin, memungkinkan mereka untuk melakukan beberapa transaksi on-chain yang menguras penjualan publik.

Baca juga: Mengenal zkSync dari Cara Kerja Hingga Ekosistemnya

Merlin akan Ganti Rugi ke Pengguna

Dalam keterangan Merlin via akun Twitter, Merlin akan memberikan ganti rugi bagi pengguna yang terdampak. Merlin telah memberi tahu otoritas terkait tentang insiden tersebut dan keberadaan tim teknis nakal tersebut. Tim back-end telah dilacak ke Serbia, Eropa, dan otoritas lokal telah diberitahu.

Protokol tersebut juga merekrut analis on-chain untuk memantau pergerakan dana. Aset yang dicuri telah dilacak kedua dompet dan masih ada pada saat penulisan.

Sementara itu, Merlin dan CertiK meluncurkan white hat bounty, sebuah program yang mengajak ahli keamanan siber untuk menemukan celah kerentanan keamanan pada layanan mereka, jika berhasil ditemukan maka akan diberikan hadiah.

Baca juga: Eureka Trading Buka Sayembara Rp44,4 Miliar Untuk Pulihkan Peretasan