Ein Sicherheitsskandal in Krypto erhitzt die Gemüter. Ein geprüftes DeFi-Protokoll nutzt eine eingebaute Hintertür, um Anleger zu täuschen und um einen Millionenbetrag zu prellen. Das Besondere: Die dApp namens Merlin erhielt zuvor ein Zertifikat durch das Prüfungsunternehmen CertiK.
Sicherheitsskandal in Krypto: Betrug durch Merlin erhitzt Gemüter
Am 31. März stellen die Entwickler ihr neues Projekt erstmals vor. Es trägt den Namen Merlin und soll als DEX und Liquidity Pool auf der Ethereum-Skalierungslösung zkSync existieren. Auf Twitter zog der DEX reges Interesse auf sich und sammelte in wenigen Wochen über 12.000 Follower.
Vom 24. bis zum 25. April sammelte Merlin Investitionen ein, die sich in zehn kurzen Stunden auf zwei Millionen US-Dollar summierten. Nur einen Tag später ist all das Geld plötzlich verschwunden. Die Erfinder der Plattform sprechen anfangs von einem Exploit.
Der schnelle Verlust der gesamten Liquidität wirkt besonders tragisch, da Merlin eigens CertiK engagierte – ein Unternehmen für Blockchain-Sicherheit. CertiK prüfte den Programmcode der dApp und bewertete ihn mit 90 von 100 Punkten. Die Sicherheitsprüfung wurde am 14. Apri nach vier Tagen abgeschlossen.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Dass dem DEX Merlin dennoch ein Ausstiegsbetrug gelingen konnte, fällt CertiK nun auf die Füsse. In der Krypto-Szene ist das Entsetzen über die augenscheinlich halbherzige Arbeit der Sicherheitsprüfer enorm.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Auf Twitter finden sich inzwischen Meme, welche die Arbeit von CertiK als unehrlich oder ungewissenhaft darstellen. So teilt der bekannte Krypto-Nutzer The DeFi Edge einen Beitrag, der einen Sicherheitsmann zeigt, der seine Arbeit nur unsauber erledigt. Dazu schreibt er: “So führt CertiK seine Sicherheitsprüfungen durch.”
CertiK übersieht Hintertür unabhängiger Entwickler
Die Köpfe hinter Merlin sind es, die am 26. April selbst zuerst auf den augenscheinlichen Exploit aufmerksam werden und Nutzer auf Twitter auffordern, nicht länger mit der dApp zu interagieren, um Gelder zu schützen.
Man werde sich um den Exploit kümmern und den verantwortlichen Fehler beheben, heisst es zu dem Zeitpunkt noch. Schnell wird jedoch klar, dass es sich nicht um einen Fehler handelt. Stattdessen bauten die drei Entwickler mutmasslich in Zusammenarbeit eine Hintertür ein, um in Pools befindliche Gelder eigenmächtig abheben zu können. Zwei Millionen US-Dollar Schaden entstehen.
“In den frühen Morgenstunden dieses Tages haben mehrere Mitglieder des Back-End-Teams alle unsere Smart Contracts geleert.” Schreibt Merlin am 26. April auf Twitter.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Nachdem der Skandal um die Hintertür bekannt wird, passt CertiK seine Bewertung des Programmcodes rasch an. Statt der bisherigen 90 Punkte wird die Prüfung plötzlich auf 38 Punkte angepasst. Die Wertungsstufe fällt von gut auf kritisch.
In einer Rangliste von CertiK wird die Anpassung bis heute offenkundig. Einst wurde der DEX Merlin auf dem 490. Rang aller Prüfungen verordnet. Inzwischen verschob man das Programm auf den 10.893. Platz, ohne dass sich der zugrundeliegende Programmcode geändert hat.
CertiK selbst weist die Schuld am Millionenschaden allerdings von sich. Hugh Brooks, Direktor des Bereichs Sicherheit, impliziert mit seiner Aussage sogar, man habe bereits vor dem Rug Pull auf den Fehler aufmerksam gemacht.
Ein Audit ist kein Gütesiegel, kein “bestanden” oder “nicht bestanden”, sondern eine objektive Überprüfung des Codes eines Projekts. Wir ermutigen die Nutzer immer, Prüfungsberichte zu lesen und zu verstehen, bevor sie sich auf ein Projekt einlassen.
Viele Personen der Krypto-Szene äussern die Vermutung, dass CertiK bereitwillig Geld annimmt, die Überprüfungen aber nicht mit dem notwendigen Ernst durchführt.
Die Erfinder von Merlin wollen alle geschädigten Investoren auszahlen. Gegen die drei verantwortlichen Entwickler leiteten sie die Strafbehörden ein. Es handelt sich offenbar um serbische Staatsbürger, die auf Github unter den Namen OneDev0411, dotnetstar82 und pos-ninja bekannt sind.
Die Arbeit am DEX wird nicht aufgegeben. Nachdem die aktuelle Problematik gelöst wird, will man die Entwicklung der ursprünglichen Idee fortsetzen.
CertiK kündigt Wiedergutmachung an
Aufgrund des gewaltigen Aufschreis in der Krypto-Szene kündigte CertiK eine Wiedergutmachung an.
CertiK prüft einen Entschädigungsplan für die Gemeinschaft, um die 2 Millionen Dollar an Nutzergeldern zu decken, die durch den Merlin DEX Rug Pull verloren gingen.
Schreibt das Unternehmen auf Twitter. Darüber hinaus besteht die Hoffnung, der Gelder durch die Arbeit der serbischen Behörden habhaft zu werden.
Den verantwortlichen Programmierern bietet CertiK eine Belohnung von 400.000 US-Dollar an, wenn sie die gestohlenen zwei Millionen freiwillig zurückgeben. Dennoch verbleibt CertiK auf seinem Standpunkt. Man habe auf eine Problematik aufmerksam gemacht. Ein tatsächlicher Fehler sei aber nicht vorhanden gewesen und konnte deshalb auch nicht kritisiert werden.
Obwohl wir die Probleme der Befugnisse im Prüfbericht angesprochen haben, möchten wir den betroffenen Benutzern helfen. Wir sind entschlossen, die Hintermänner dieses Vorfalls ausfindig zu machen. Weitere Details zur Entschädigung werden bald veröffentlicht.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Im Prüfbericht der Sicherheitsanalysten taucht die Hintertür, die zum Diebstahl führte, als Problem der “Zentralisierung” auf. CertiK konsultierte Merlin über dieses Problem. Kritiker auf Twitter sind der Meinung, der entscheidende Programmcode hätte als Sicherheitsrisiko markiert werden müssen, da er für die Funktion des DEX nicht wichtig ist, sondern eine Bedrohung darstellte.
