Merlin DEX Rugpull事件后续 CertiK已与执法部门展开合作

4月25日，M erlin DEX团队成员利用协议中的中心化权限，对其用户实施了180万美元的Rugpull。

一、内部人员Rugpull，而非外部漏洞利用。Merlin团队拥有私钥的内部人员恶意利用了“所有者”钱包的特权来盗取用户资产。起初，我们认为这是某恶意开发人员的个人行为，并尝试与团队的其他成员合作以减少损失。有两名Merlin DEX团队成员参与了KYC，但另外两名核心成员多次拒绝了我们验证其身份的请求，且无视了提供更多尽调细节的要求。于是我们决定与执法部门紧密合作，并已向美国和英国的联邦执法机构提交了事件报告以及我们掌握的一切可用信息。

二、探索行业标准，努力克服障碍。 随着计划的推进，我们正在积极寻找合适的资金分配方案。不过为Merlin社区设立受害者援助基金的善意举措也确实受到了一定的阻碍。在法律专家和执法部门建议的影响下，我们意识到：为了更好地服务社区和配合调查，我们需要尽可能考虑所有的方式来帮助社区，同时努力解决因援助基金遇到的挑战进而带来的问题。

我们明白此开创性举措将使我们独自面临业内未曾有过的挑战，但我们仍将探索一切可能性进行攻坚，只因对抗退出骗局和帮助受害者不仅是我们的终极目标，同时也是我们的初衷。如有更多细节，我们将及时分享。

三、不断改进并优化服务流程。虽然公开的Merlin DEX审计报告指出了中心化的问题，但我们也意识到了强调中心化特权所带来的潜在风险的重要性。我们正在努力提高审计报告摘要总结部分的清晰度，以便社区更好地了解安全审计的功能。

绝大多数Web3项目的创始人都是遵纪守法的，他们在深谙安全问题和KYC的重要意义的同时，也在持续致力着高质量应用程序的开发。而当一个项目团队对其投资者进行Rugpull时（如Merlin DEX事件），将会对所有人甚至整个生态造成恶劣影响。守护Web3.0世界是CertiK的使命。为此，我们希望通过这则声明重申我们对于提高整个行业安全性和透明度的承诺。

来源：CertiK官网