Rug interno de Merlin DEX

El 26 de abril de 2023, el DEX en zkSync Era Merlin fue drenado por aproximadamente $1,82 millones a las pocas horas del lanzamiento de su venta pública. Internos con un rol privilegiado de receptor de comisiones/propietario retiraron toda la liquidez. Los contratos habían sido auditados por CertiK — cuyo informe había marcado un riesgo de centralización/clave privada que los usuarios no sopesaron.

Qué ocurrió

Los contratos de Merlin retenían un rol privilegiado capaz de acceder a la liquidez agrupada. La auditoría de CertiK señaló explícitamente el riesgo de centralización de este rol; la auditoría "pasó" en el sentido de que el código hacía lo que afirmaba — incluida la ruta privilegiada que permitía a los internos drenarlo. Horas tras el lanzamiento, se utilizó el rol para retirar toda la liquidez (~$1,82 M). CertiK declaró públicamente que había identificado la preocupación sobre clave privada/centralización y persiguió la recuperación parcial de fondos y compensación a las víctimas junto con la comunidad.

Consecuencias

• Recuperación parcial y un esfuerzo de compensación posteriores (coordinados por CertiK).
• El incidente se convirtió en un punto crítico en el debate sobre "¿qué certifica realmente una auditoría?".

Por qué importa

Merlin DEX es el caso canónico de "auditado pero la auditoría señaló exactamente esto y nadie lo leyó". Cristaliza una distinción que el catálogo hace repetidamente (Arbix, Swaprum): una auditoría evalúa si el código hace lo que parece hacer; no evalúa si el equipo abusará de los poderes que el código otorga — y cuando marca esos poderes como un riesgo, esa marca es el producto, no una nota al pie. Los usuarios trataron "auditado por CertiK" como "seguro"; la auditoría había escrito literalmente el riesgo que se materializó. La lección defensiva es para los usuarios: lean la sección de riesgo de centralización/administración de la auditoría, porque ahí es donde los rugs se pre-divulgan.