В среду из пула ликвидности недавно запущенной децентрализованной биржи Merlin было выведено около $1,82 млн. Аудиторская компания CertiK, которая провела аудит DEX незадолго до ее запуска, обвинила во взломе «мошеннических разработчиков».
В своем сообщении в Twitter аудитор заявил: «Первоначальные расследования показали, что недобросовестные разработчики находятся в Европе, и мы работаем с правоохранительными органами над их розыском», и призвал их принять вознаграждение в размере 20% от «белой шляпы». Сама компания Merlin обвинила «нескольких членов команды Back-End» в сливе своих контрактов в сообщении в Twitter.
В заявлении, направленном в TCN, компания CertiK сообщила, что она работает с «оставшейся командой Merlin» и командой, стоящей за сетью ZKSync, над планом компенсации для пострадавших пользователей. Компания Merlin пока не ответила на просьбы TCN о комментарии.
Компания Merlin, созданная на базе zkSync, решения для масштабирования второго уровня Ethereum, была запущена всего несколько дней назад с публичной продажей своего токена MAGE. Непосредственно перед запуском Merlin также получила аудит кода от фирмы CertiK, специализирующейся на безопасности смарт-контрактов — шаг, который многие криптовалютные компании считают важным для обеспечения безопасности активов пользователей и поддержания доверия клиентов.
Согласно CertiK, которая заявила, что «активно расследует» инцидент с Merlin, «первоначальные выводы указывают на потенциальную проблему управления закрытыми ключами, а не на эксплойт в качестве первопричины. «
1/ CertiK изучает план компенсации сообществу, чтобы покрыть ~$2M пользовательских средств, потерянных в результате инцидента с Merlin DEX. Первоначальное расследование показало, что мошеннические разработчики находятся в Европе, и мы сотрудничаем с правоохранительными органами для их розыска.
⬇️⬇️⬇️
— CertiK (@CertiK) Апрель 26, 2023
«Хотя аудит не может предотвратить проблемы с закрытыми ключами, мы всегда обращаем внимание проектов на лучшие практики. В случае обнаружения нечестной игры мы будем работать с соответствующими органами и делиться соответствующей информацией», — говорится в сообщении CertiK в Твиттере, добавляя, что в своем аудиторском отчете она указала на риск централизации Merlin.
Merlin отреагировала на инцидент вскоре после этого в «объявлении для разработчиков», попросив пользователей «отозвать доступ к подключенным сайтам на своих кошельках» в качестве меры предосторожности.
DEX заявила, что анализирует произошедшее и что «будут предоставлены дополнительные обновления. «
Объявление разработчика
Все ли могут отозвать доступ к подключенным сайтам на своих кошельках/подписать разрешение https://t.co/YRxH7IUU4T
Мы анализируем эксплойт нашего протокола и хотели бы подчеркнуть, что все выполняют этот шаг в качестве меры предосторожности.
Будут предоставлены дополнительные обновления
— Merlin (@TheMerlinDEX) Апрель 26, 2023
Проблемы централизации
Эксперты по безопасности блокчейна указали на «серьезные проблемы с централизацией» смарт-контрактов Merlin DEX.
«Хотя мы еще только начинаем разбираться во всей этой истории, есть признаки того, что в смарт-контрактах Merlin DEX были серьезные проблемы с централизацией», — сказал TCN Гонсало Магальяэс, инженер по смарт-контрактам платформы Immunefi. «В частности, адрес, получающий плату за пул, мог сливать все средства из каждого пула в протоколе».
В своем твите другой DEX на базе zkSync, eZKalibur, заявил, что идентифицировал «вредоносный код, ответственный за слив средств» в смарт-контрактах Merlin.
Мы провели исследование смарт-контрактов Merlin и выявили вредоносный код, ответственный за слив средств.
Эти две строки кода в функции initialize по сути дают разрешение на перевод неограниченного (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
По словам Магальхаеса из Immunefi, хотя CertiK и выделила некоторые проблемы централизации в своем аудите, «нет никакого упоминания об этом конкретном моменте, где адрес получателя платы имеет полное разрешение на изъятие каждого токена из пулов — что на самом деле является критически важной единичной точкой отказа».
«Если это действительно случай компрометации закрытого ключа, то он, конечно, не первый», — сказал Магалхаес, назвав надлежащее управление ключами привилегированных адресов в протоколе «критически важным вопросом». Он добавил, что такие средства защиты, как мультисиговые кошельки, полезны, но «наличие полного разрешения на перевод средств на одном счете делает этот закрытый ключ сочной мишенью для хакеров-черносотенцев».
Энди Чжоу, генеральный директор аудиторской платформы BlockSec, пошел еще дальше, заявив, что хотя аудит смарт-контрактов полезен для обнаружения уязвимостей и защиты активов пользователей в протоколе, «один аспект, который обычно игнорируется, — что если сам протокол является вредоносным», например, имеет намерение «выманить пользователей».
В Твиттере Чжоу сравнил Merlin с банком, предварительно авторизовав который, его владелец может произвольно снять все деньги клиентов.
«Если вы знаете об этом, будете ли вы по-прежнему вносить свои токены в банк?» — спросил генеральный директор BlockSec.
Дайте мне ваши деньги. Да, сэр!
Это как если бы банк заранее разрешил владельцу банка произвольно снимать деньги всех клиентов.
Если вы знаете это, вы все равно внесете свои токены в банк?
Вот как работает Merlin DEX. pic.twitter.com/7NdyhRpjky
— Yajin (Andy) Zhou (@yajinzhou) April 26, 2023
Магалхаес согласился с тем, что утверждение получателя неограниченного гонорара было «чем-то совсем не нужным для логики протокола», сказав TCN, что «мы ожидали бы, что аудит отметит это как нечто тревожное».
«Это еще одна причина, по которой важно иметь более одной внешней стороны, проводящей аудит вашего кода. То, что было пропущено одной фирмой, может быть отмечено другой», — сказал Магалхаес.
В своем заявлении для TCN компания CertiK отметила, что «хотя аудиты могут выявить потенциальные риски и уязвимости, они не могут предотвратить злонамеренные действия со стороны недобросовестных разработчиков, такие как «коверканье», и призвала пользователей искать проекты, которые прошли добровольный процесс проверки KYC. Аудитор также подчеркнул, что «привилегии закрытых ключей выходят за рамки аудита смарт-контрактов», но что он по-прежнему готов оказать помощь пострадавшим пользователям и найти виновных в том, что он назвал «мошенничеством с выходом».
