Hack, Fraude et ScamNews

Rug pull : Merlin siphonné par ses développeurs back-end

Crédit : Shutterstock

Le DEX Merlin a été victime d’un rug pull orchestré par plusieurs de ses développeurs. Le protocole DeFi cherche aujourd’hui, avec l’auditeur blockchain Certik, à indemniser les utilisateurs touchés.

 

Mercredi, le protocole d’échange de cryptomonnaies basé sur zkSync annonçait que son service avait été piraté, sans plus de précision. L’auditeur de ses contrats intelligents, Certik, indiquait dans le même temps qu’il s’agissait d’un problème de gestion de clés privées et non d’un piratage classique, faisant naturellement penser à un énième rug pull.

Hier soir, Merlin a finalement communiqué sur le sujet et confirmé qu’il s’agissait bien d’un rug pull, soit un exit scam. Ce n’est, cette fois-ci, pas les fondateurs du projet qui ont disparu avec la caisse mais certains de ses développeurs.

C’est avec le plus profond regret que nous devons vous informer d’un défaut majeur dans l’intégrité structurelle et les contrôles de la plateforme Merlin […] Des membres de l’équipe Back-End ont vidé tous nos contrats », a écrit Merlin dans un thread sur Twitter.

Le DEX a rappelé que la très renommée startup de securité blockchain Certik avait réalisé un audit complet de ses contrats. « Cependant, il y a eu un oubli clair du pouvoir global que le propriétaire avait sur les pools », a-t-il précisé.

Merlin collabore actuellement avec Certik pour restituer les fonds aux victimes. Le spécialiste des blockchains a de son côté indiqué qu’il travaillait sur la mise en place d’un « plan de remboursement communautaire » pour couvrir les fonds perdus dans le rug pull, l’équivalent d’environ 2 millions de dollars en divers tokens.

Les premières enquêtes indiquent que les développeurs malhonnêtes sont basés en Europe, et nous travaillons avec les forces de l’ordre pour les retrouver. Nous les exhortons à accepter une prime White Hat de 20%. Bien que nous ayons soulevé les problèmes de privilège de clé privée dans le rapport d’audit, nous souhaitons aider les utilisateurs concernés », a tweeté Certik.

Suivez Coins.fr sur Twitter, Linkedin, Facebook ou Telegram pour ne rien manquer.

Stanislas Pogorzelski
Cofondateur et rédacteur en chef - Stanislas possède une expérience accrue dans le traitement de l’actualité liée à la crypto-monnaie et la blockchain. Il écrit sur le sujet depuis 2017 et a été amené à diriger la rédaction de plusieurs médias spécialisés. Contact : stanislas@coins.fr