CertiK, una firma de seguridad blockchain y auditora de contratos inteligentes, informó que ha bloqueado con éxito $160.000 de los fondos robados a Merlin, un exchange descentralizado que fue objetivo de un «rug pull» malicioso por parte de un empleado en abril que costó a los usuarios alrededor de $1,8 millones.
Según CertiK, actores ilícitos utilizaron esquemas Ponzi, vulnerabilidades, estafas de salida y ataques de préstamos flash para robar más de $100 millones de proyectos e inversores de criptomonedas. La empresa afirmó que los empleados internos de Merlin fueron responsables de la acción, rug-pulleando a sus usuarios por esa enorme cantidad de dinero.
We have successfully frozen $160K of the stolen funds with the help of partners. We will continue to monitor the movement of all stolen funds in an attempt to freeze and recover the remaining amount.
— CertiK (@CertiK) May 4, 2023
El 4 de mayo, CertiK actualizó a sus seguidores de Twitter sobre una de sus acciones más recientes: el congelamiento exitoso de algunas partes de los fondos robados. La empresa afirmó que pudieron congelar los activos con la ayuda de socios y que continúan rastreando el flujo de los activos.
«Esto fue un rug pull interno», dijo la empresa de monitorización on-chain. «Los empleados internos de Merlin abusaron de los privilegios de la cartera del propietario».
CERTIK ESTÁ HACIENDO ESFUERZOS PARA LOCALIZAR A LOS ESTAFADORES
Sin embargo, afirmaron que al intentar trabajar con los miembros restantes del equipo de Merlin, varios de los miembros clave se resistieron a confirmar sus verdaderas identidades. Como resultado, los esfuerzos de la empresa de monitorización on-chain para apoyar a las víctimas se complicaron, por lo que tuvieron que recurrir a las agencias de aplicación de la ley en los Estados Unidos y el Reino Unido para rastrear los fondos robados y llevar a los responsables ante la justicia.
Además, la empresa de seguridad asume que los «desarrolladores malintencionados» se encuentran en Europa, como se afirmó en un tweet anterior en el que instaron a los desarrolladores a aceptar una recompensa del 20% y revelaron que estaban investigando un plan de compensación comunitaria.
Sin embargo, CertiK admitió que también tenía parte de la culpa al no alertar adecuadamente a los usuarios sobre los riesgos de la centralización. Aunque el auditor afirmó que el informe de auditoría planteó preocupaciones sobre el privilegio de la clave privada y los riesgos de centralización, el impacto de estos hallazgos no se hizo tan claro como debería haber sido.
La empresa dijo:
«Los privilegios centralizados deberían haber sido destacados claramente para que los usuarios estuvieran conscientes de los riesgos».
Al mismo tiempo, Merlin DEX afirmó que su equipo de backend, en quien afirman haber depositado un «alto grado de confianza», fue responsable del rug pull. El exchange descentralizado relativamente nuevo dijo en un comunicado del 26 de abril que también había alertado a las autoridades apropiadas en Serbia, territorio del equipo de backend, y había cooperado con expertos on-chain para rastrear el flujo de los fondos robados.
