スマートコントラクト監査会社CertiKは、先週ユーザーが180万ドルを失ったとされる不正なインサイダーによる「出口詐欺(ラグプル)」の中心となっていた、zk-Syncベースの分散型取引所(DEX)Merlinから16万ドルをブロックしたと主張している。
CertiKは5月5日、盗まれた資金16万ドルの凍結に成功したとツイートした。
CertiKは「パートナーの助けを借りて、盗まれた資金の16万ドルを凍結することに成功しました」と述べ、盗まれた資金の動きを引き続き監視していると付け加えた。
We have successfully frozen $160K of the stolen funds with the help of partners. We will continue to monitor the movement of all stolen funds in an attempt to freeze and recover the remaining amount.
— CertiK (@CertiK) May 4, 2023
同社は、4月25日の「ラグプル」から盗まれた資金を回収するためにMerlinと「協力」しようとしたが、努力は報われなかったと説明している。
これにより、同社は偽名を使った運営者の身元を明らかにしようと、米国と英国の法執行機関に連絡することになった。
CertiKは「この協力の欠如が、被害者を確認し助ける努力を複雑にしている。私たちは法執行機関と協力し、米国および英国の関連機関に情報を提出している」と述べている。
CertiKはまた、「私たちはコミットした200万ドルで出口詐欺に対抗するためのあらゆる可能性を模索している」と付け加えた。
Certikの以前の投稿によれば、「悪質な開発者」がヨーロッパに拠点を置いているという
出口詐欺について、「Merlinのインサイダーがオーナーのウォレット特権を悪用した」とCertiKは指摘している。これは秘密鍵の問題に起因するもので、ハッキングによるものではないという初期段階の調査結果と一致している。
Merlinは出口詐欺はバックエンドチームによって実行されたと主張しており、そのチームに「高度な信頼」を置いていたとされる。
We are deeply saddened by the actions of the technical team, whom we put a high degree of trust in. Merlin will continue to support our community and resolve the issue.
— Merlin (@TheMerlinDEX) April 26, 2023
一方CertiKは、集中化リスクについてユーザーに適切に情報提供しなかったことが一部の原因であるとして、自分たちにも責任があると認めている。
コインテレグラフへのコメントで、CertiKは今後の監査概要で集中化リスクにより重点を置くと述べている。
「私たちは、レポートの監査概要の明確さを向上させること、特に集中化リスクについて、そして監査の目的についてコミュニティとより良いコミュニケーションを図るために取り組んでいく」
Going forward, CertiK will prioritize centralization risks in audit summaries to ensure users have a complete picture of potential risks.
— CertiK (@CertiK) May 4, 2023
We recognize that audit reports can be highly technical documents, and it’s our job to communicate the risks clearly and transparently.
ただしCertiKは、スマートコントラクト監査会社がラグプルの特定に失敗した場合、全責任を負うべきではないと強調している。
「コード監査は、脆弱性を発見するためのものであり、潜在的なラグプルを検出するためのものではない。大規模および小規模なプロジェクトの多くが集中化問題を指摘されており、その大部分がラグプルにつながらないことを認識することが重要だ」
Certikは4月27日に、「出口詐欺」の結果として失われた資金を補償するための200万ドルの補償計画を立ち上げた。同社は、約束された資金は、出口詐欺を防ぐために使用され、可能な場合は被害者を支援するために使用されると付け加えている。