A Certik, uma das maiores empresas de auditoria de contratos inteligentes, afirmou que está trabalhando em um plano para recompensas usuários afetados pelo golpe na Merlin, uma corretora de criptomoedas descentralizada que havia sido auditada por eles.
Em um primeiro momento, na manhã desta quarta-feira (26), a empresa chegou a afirmar que o incidente havia sido causado por um “problema de gerenciamento de chave privada”., destacando que “no relatório de auditoria da ‘Merlin’, o risco de centralização é destacado na seção ‘Esforços de descentralização’”.
Contudo, a Certik emitiu um novo comunicado horas depois, conforme terceiros apontaram que se tratava de uma falha no contrato inteligente. Ou seja, a auditoria deveria ter percebido o erro.
“Fizemos algumas pesquisas sobre contratos inteligentes da Merlin e identificamos o código malicioso responsável pela drenagem de fundos”, escreveu o perfil da eZKalibur. “Como a CertiK pode auditar isso?”
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
Certik planeja reembolsar afetados e oferece recompensa aos hackers
Após tomar conhecimento do tuíte acima, a Certik não teve outra opção a não ser reconhecer a falha em sua auditoria. Como solução, a empresa afirma que está analisando um plano para recompensar as vítimas. Os valores perdidos são equivalentes a R$ 10 milhões.
“A CertiK está explorando um plano de compensação para cobrir os cerca de US$ 2 milhões em fundos de usuários perdidos na Merlin”, escreveu a empresa. “As investigações iniciais indicam que os desenvolvedores desonestos estão na Europa e estamos trabalhando com as autoridades para rastreá-los.”
Na sequência, a Certik oferece uma recompensa de 20%, cerca de R$ 2 milhões (US$ 400.000) aos desenvolveres. Ou seja, eles poderiam devolver apenas US$ 1,6 milhão (R$ 8 milhões) em criptomoedas e não serem acusados legalmente.
“Pedimos aos desenvolvedores desonestos que aceitem uma recompensa de white hat de 20%”, concluiu a Certik. “Embora tenhamos levantado os problemas de privilégio de chave privada no relatório de auditoria, queremos ajudar os usuários afetados.”
“Estamos determinados a rastrear aqueles por trás desse rug pull (puxada de tapete). Mais detalhes de compensação serão divulgados.”
1/ CertiK is exploring a community compensation plan to cover the ~$2M of user funds lost in the Merlin DEX rug pull. Initial investigations indicate that the rogue developers are based in Europe, and we are working with law enforcement to track them down.
⬇️⬇️⬇️
— CertiK (@CertiK) April 26, 2023
Decisão da empresa dividiu opiniões
Os comentários da Certik dividiram a opinião de seus seguidores. Por um lado, alguns parabenizaram a empresa por sua posição em relação ao incidente, já outros mostraram-se incomodados com a situação.
“Recompensa de white hat? Eles fizeram os contratos para roubar a liquidez em primeiro lugar”, comentou um usuário indignado no Twitter. “Que tipo de coisa você está fumando? Use esse valor de recompensa para contratar alguém que possa ler contratos.”
Por fim, o caso parece uma lição para ambos os lados. Enquanto empresas de auditoria devem ter mais atenção em seus trabalhos, usuários não devem confiar cegamente em atestações, mas é inegável que elas sejam um requisito mínimo para projetos de DeFi.
Além disso, os planos de reembolsar os afetados mostra o amadurecimento da indústria, cansada de tantos golpes milionários.
