【基于BSC的Arbix Finance协议被CertiK标记为Rug Pull】

【基于BSC的ArbixFinance协议被CertiK标记为RugPull】区块链安全公司CertiK已将基于BinanceSmartChain的流动性挖矿协议ArbixFinance标记为“RugPull”（拉地毯）项目。根据CertiK的事件分析，ArbixFinance项目显示了太多的危险信号。CertiK称：“ARBX合约只有所有者功能的mint()，1000万个ARBX代币被铸造到了8个地址”。CertiK还确认有450万个ARBX被铸造到一个地址，之后“450万个铸造的代币被丢弃。”另一个危险信号是1000万美元的用户资金。这笔资金在存入后被定向到未经验证的池中，黑客最终获得了所有访问权限，耗尽了全部1000万美元的资产。（Coingape）

【Certik：正与ZKSync探讨180万美金社区补偿计划以弥补Merlin DEX事件损失】

【Certik：正与ZKSync探讨180万美金社区补偿计划以弥补MerlinDEX事件损失】据官方消息，Certik表示在MerlinDEX的恶意开发者实施了RugPull后，正与受影响的各方紧密合作，将与ZKSync探讨社区的补偿计划，弥补MerlinDEX事件造成的180万美元用户资金损失。据悉，CertiK将在未来几天内宣布一个180万美金的社区补偿计划以弥补损失，更多的计划细节将会于随后发布。CertiK在对MerlinDEX的审计过程中发现了中心化风险，并对授予“masterAddress”和“owner”地址的权限进行了详细的可视化分解。该审计工作于4月23日完成，共有六项发现。Merlin团队修复了其中两个问题，并确认了其余四个问题。CertiK的审计报告全部公开透明，并免费提供给所有Web3社区成员查看。初步调查表明，攻击者很可能位于欧洲。目前，Certik正在与执法部门合作，追踪他们的下落。CertiK也正在与Merlin团队的其他成员紧密合作并努力解决问题。目前，CertiK已敦促该恶意开发者接受20%的白帽赏金。若攻击者不接受，Certik将立即采取一切可能的行动来保护ZK社区。

【CertiK：正积极调查Merlin攻击事件，或为私钥管理问题】

【CertiK：正积极调查Merlin攻击事件，或为私钥管理问题】CertiK在推特发布公告称其正积极调查Merlin攻击事件，初步调查结果表明，是潜在的私钥管理问题而不是漏洞被利用。如果发现任何不法行为，将与有关当局合作并分享相关信息。此前报道，Web3知识图谱协议0xScope创始人Bobie发推特称，zkSync生态上DEXMerlin流动性耗尽，黑客盗取182万美元资金并桥接至以太坊。

【CertiK发布Merlin事件进展：已与执法部门展开合作，援助基金将用于打击退出骗局及帮助受害者】

【CertiK发布Merlin事件进展：已与执法部门展开合作，援助基金将用于打击退出骗局及帮助受害者】CertiK在社交媒体上发布关于4月25日Merlin事件的最新进展。CertiK表示，1.关于4月25日Merlin事件的最新进展：MerlinDEX的内部成员对其用户实施了180万美元的Rugpull。2.Merlin事件本身属于内部RugPull（退出骗局），其内部拥有私钥的成员恶意利用了所有者钱包的特权。最初，我们曾尝试与Merlin团队的其余成员进行合作，但部分核心成员拒绝了身份验证的请求。3.由于缺乏关键一方的配合，我们在确认受害者及提供援助方面的工作面临了诸多挑战。目前，CertiK正在与执法部门展开合作，并已向美国和英国相关联邦机构提供了材料及信息。我们会探索一切可能性，利用之前承诺的200万美元资金打击退出骗局。4.在合作伙伴的支持和帮助下，目前已有16万美元被盗资金被冻结。我们将继续监测剩余被盗资金的流动情况，并尽力冻结和追回剩余资金。5.虽然CertiK的审计报告指出了中心化风险，但我们也意识到报告中并没有充分地强调该发现的重要性及影响。中心化风险应当被尽可能地突出强调，以便用户意识到项目特权化风险。6.今后，CertiK将在审计报告的总结中优先并着重强调中心化风险，以确保用户对潜在风险有完整的认知。同时审计报告的技术性较强，我们有责任将风险清楚透明地揭露并展示出来。

【CertiK发布Merlin事件进展：已与执法部门展开合作，援助基金将用于打击退出骗局及帮助骗局受害者】

【CertiK发布Merlin事件进展：已与执法部门展开合作，援助基金将用于打击退出骗局及帮助骗局受害者】CertiK在社交媒体上发布关于4月25日Merlin事件的最新进展。CertiK表示，1.关于4月25日Merlin事件的最新进展：MerlinDEX的内部成员对其用户实施了180万美元的Rugpull。2.Merlin事件本身属于内部RugPull（退出骗局），其内部拥有私钥的成员恶意利用了所有者钱包的特权。最初，我们曾尝试与Merlin团队的其余成员进行合作，但部分核心成员拒绝了身份验证的请求。3.由于缺乏关键一方的配合，我们在确认受害者及提供援助方面的工作面临了诸多挑战。目前，CertiK正在与执法部门展开合作，并已向美国和英国相关联邦机构提供了材料及信息。我们会探索一切可能性，利用之前承诺的200万美元资金打击退出骗局及帮助骗局受害者。4.在合作伙伴的支持和帮助下，目前已有16万美元被盗资金被冻结。我们将继续监测剩余被盗资金的流动情况，并尽力冻结和追回剩余资金。5.虽然CertiK的审计报告指出了中心化风险，但我们也意识到报告中并没有充分地强调该发现的重要性及影响。中心化风险应当被尽可能地突出强调，以便用户意识到项目特权化风险。6.今后，CertiK将在审计报告的总结中优先并着重强调中心化风险，以确保用户对潜在风险有完整的认知。同时审计报告的技术性较强，我们有责任将风险清楚透明地揭露并展示出来。

【CertiK：正积极调查Merlin攻击事件，被盗原因或为私钥管理不当】

【CertiK：正积极调查Merlin攻击事件，被盗原因或为私钥管理不当】2023年04月26日01点11分老不正经报道，CertiK在推特发布公告称其正积极调查Merlin攻击事件，初步调查结果表明，是潜在的私钥管理问题而不是漏洞被利用。如果发现任何不法行为，将与有关当局合作并分享相关信息。此前报道，Web3知识图谱协议0xScope创始人Bobie发推特称，zkSync生态上DEXMerlin流动性耗尽，黑客盗取182万美元资金并桥接至以太坊。