ล่าสุดบริษัทตรวจสอบความปลอดภัยบนบล็อกเชนอย่าง CertiK ได้ออกมาเปิดเผยเมื่อวันที่ 26 เมษายน 2023 ที่ผ่านมาว่า ทางบริษัทกำลังเตรียมการที่จะออกแผนการชดใช้ความเสียหายกรณี Merlin แพลตฟอร์มแลกเปลี่ยนคริปโตแบบกระจายศูนย์ (Decentralized Exchange: DEX) ถูกนักพัฒนามือดีขโมยคริปโตไปเป็นมูลค่ากว่า 2 ล้านดอลลาร์สหรัฐในระหว่างการเปิดขายโทเคน MAGE ของแพลตฟอร์มให้กับสาธารณชนเป็นเวลา 3 วันโดยที่ไม่จำกัดอุปทานสูงสุดของโทเคน

โดยก่อนหน้านั้นในวันเดียวกัน Merlin ได้สูญเสียสินทรัพย์ดิจิทัลประเภท Stablecoin อย่าง USD Coin (USDC) มูลค่าราว 850,000 ดอลลาร์และสกุลเงินคริปโตอื่น ๆ ที่มีสภาพคล่องต่ำอีกหลายสกุลให้กับแฮกเกอร์ในระหว่างการเปิดขายโทเคน MAGE ทั้ง ๆ ที่ทางแพลตฟอร์มได้ว่าจ้าง CertiK ให้มาตรวจสอบโค้ดของโปรเจกต์ให้แล้วก็ตาม

CertiK กล่าวย้ำว่า ขณะนี้บริษัทกำลังสืบสวนเหตุการณ์การขโมยเงินของนักพัฒนามือดีรายดังกล่าวอยู่ และได้ติดต่อกับนักพัฒนาที่เหลือของ Merlin แล้วเพื่อเริ่มใช้แผนการชดใช้ความเสียหายดังกล่าว นอกจากนี้ CertiK ยังระบุเพิ่มเติมอีกว่า “การสืบสวนเบื้องต้นแสดงให้เห็นว่า เหล่านักพัฒนาผู้ก่อเหตุอาศัยอยู่ในยุโรป และ CertiK จะร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อติดตามตัวพวกเขาในกรณีที่การเจรจาทางตรงไม่ประสบความสำเร็จ” โดย CertiK เปิดเผยว่า บริษัทกำลังโน้มน้าวให้นักพัฒนามือดีเหล่านั้นคืนเงิน 80% ของจำนวนเงินที่ขโมยไปทั้งหมด และให้พวกเขาเก็บไว้ 20% ในฐานะเงินรางวัลสำหรับการชี้ช่องโหว่ของระบบผ่านการแฮก

เดิมที CertiK คาดการณ์ว่า เหตุการณ์ที่เกิดขึ้นกับ Merlin ในวันดังกล่าวเป็นเพียงปัญหาการจัดการกุญแจส่วนตัว (Private Key) ที่อาจเกิดขึ้นได้เท่านั้น ถึงอย่างนั้น ชุมชนคริปโตบน Twitter ก็ตั้งคำถามถึงการตรวจสอบความปลอดภัยของ CertiK และบอกเป็นนัยว่า เหตุการณ์ดังกล่าวอาจจะเป็น Rug Pull ซึ่งหมายถึงการที่นักพัฒนาหลอกให้คนนำเงินมาลงทุนก่อนจะล้มเลิกโปรเจกต์และหอบเงินของนักลงทุนหนีไปนั่นเอง

ด้าน Thanh Nguyen ผู้ก่อตั้ง Verichains บริษัทดูแลความปลอดภัยบนบล็อกเชนสัญชาติเวียดนาม กล่าวว่า เขาพบรูรั่วของระบบที่ผู้พัฒนาจงใจสร้างทิ้งไว้ (Backdoor) ในโค้ดของ Merlin พร้อมกับระบุว่า กรณีนี้เป็น “ความเสี่ยงด้านความปลอดภัยอย่างชัดเจน เนื่องจากไม่ปรากฏกรณีการใช้งานใดที่จำเป็นต้องมีการอนุมัติ”

โดย CertiK กล่าวว่า “ถึงแม้ว่าการตรวจสอบระบบจะสามารถชี้ให้เห็นถึงความเสี่ยงและช่องโหว่ที่อาจมีอยู่ได้ ทว่าการตรวจสอบระบบเหล่านี้ก็ยังมิอาจป้องกันกิจกรรมที่มุ่งร้ายในส่วนของนักพัฒนามือดีได้ เช่น Rug Pull…เราจึงอยากให้ผู้ใช้มองหาโปรเจกต์ที่มี ‘เครื่องหมายการทำความรู้จักลูกค้า (Know Your Customer: KYC)’ ในฐานะความปลอดภัยที่เพิ่มขึ้นมาอีกชั้นหนึ่ง ซึ่งชี้ให้เห็นว่า โปรเจกต์ดังกล่าวได้ผ่านขั้นตอนการตรวจสอบตามแนวทางของ KYC โดยสมัครใจแล้ว” 

พร้อมกันนี้ CertiK ยังระบุด้วยว่า การกระทำข้างต้นจะช่วยลดและบรรเทาความเสี่ยงของภัยคุกคามจากคนในอย่างเช่น Rug Pull ได้ โดยทาง CertiK จะเดินหน้าชี้แจงความคืบหน้าเกี่ยวกับแผนการชดใช้ความเสียหายและการสืบสวนที่กำลังเกิดขึ้นอย่างต่อเนื่อง