Наскоро стартиралата децентрализирана борса Merlin бе източена с около 1,82 млн. долара от ликвидния си пул в сряда, а одиторът CertiK, който завърши одита на DEX точно преди старта ѝ, обвини „недобросъвестни разработчици“ за хакерската атака.
В публикация в Twitter одиторът заяви, че: „Първоначалните разследвания показват, че недобросъвестните разработчици са базирани в Европа и ние работим с правоприлагащите органи, за да ги проследим“, и ги призова да приемат 20% награда за бяла шапка. Самата Merlin обвини „няколко членове на Back-End екипа“ в източване на договорите си в публикация в Twitter.
В изявление, изпратено до TCN, CertiK заяви, че работи с „останалия екип на Merlin“ и с екипа зад мрежата ZKSync по план за компенсация на засегнатите потребители. Merlin все още не е отговорила на исканията на TCN за коментар.
Изградена върху zkSync, решение за мащабиране на слой 2 на Ethereum, Merlin стартира само преди няколко дни с публичната продажба на своя токен MAGE. Непосредствено преди старта си Merlin получи и одит на кода от фирмата за сигурност на интелигентни договори CertiK – стъпка, която много крипто бизнеси смятат за съществена за гарантиране на безопасността на активите на потребителите и поддържане на доверието на клиентите.
Според CertiK, която заяви, че „активно разследва“ инцидента с Merlin, „първоначалните констатации сочат по-скоро потенциален проблем с управлението на частни ключове, отколкото експлойт като основна причина“.
1/ CertiK проучва план за компенсация на общността, за да покрие загубените от потребителите средства в размер на ~2 млн. долара при изтеглянето на килимчето на Merlin DEX. Първоначалните разследвания показват, че нелоялните разработчици са базирани в Европа и ние работим с правоприлагащите органи, за да ги открием.
⬇️⬇️⬇️
– CertiK (@CertiK) Април 26, 2023
„Въпреки че одитите не могат да предотвратят проблеми с частните ключове, ние винаги изтъкваме най-добрите практики за проектите. Ако бъде открита нечестна игра, ще работим със съответните органи и ще споделим съответната информация“, заяви CertiK в тема в Twitter, като добави, че е подчертала риска от централизация на Merlin в своя одиторски доклад.
Merlin реагира на инцидента скоро след това в „съобщение за разработчици“, като помоли потребителите да „отменят свързания достъп до сайта на своите портфейли“ като предпазна мярка.
DEX заяви, че анализира случилото се и че „ще бъдат предоставени още актуализации.“
Съобщение на разработчика
Може ли всеки да отмени достъпа до свързания сайт на своите портфейли/разрешение за подписване https://t.co/YRxH7IUU4T
Анализираме експлойта на нашия протокол и бихме искали да подчертаем, че всеки извършва тази стъпка като предпазна мярка.
Ще бъдат предоставени още актуализации
– Merlin (@TheMerlinDEX) April 26, 2023
Въпроси на централизацията
Експерти по сигурността на блокчейн посочиха „сериозни проблеми с централизацията“ на интелигентните договори на Merlin DEX.
„Въпреки че все още сме в началото на цялата история, има индикации, че е имало големи проблеми с централизацията на умните договори на Merlin DEX“, каза Гонсало Магалаес, инженер по умните договори в платформата за награди за грешки Immunefi, пред TCN. „По-конкретно, адресът, получаващ таксите за пуловете, е имал право да източва всички средства от всеки пул в протокола.“
В туитър друг DEX, базиран на zkSync, eZKalibur, твърди, че е идентифицирал „злонамерения код, отговорен за източването на средствата“ в интелигентните договори на Merlin.
Направихме проучване на интелигентните договори на Merlin и идентифицирахме зловредния код, отговорен за източването на средства.
Тези два реда код във функцията initialize по същество дават одобрение на адреса feeTo да прехвърли неограничен (type(uint256).max)… pic.twitter.com/mIksh4HkhB
– eZKalibur ∎ (@zkaliburDEX) April 26, 2023
Според Магалаес от Immunefi, макар CertiK да подчертава някои опасения, свързани с централизацията, в своя одит, „не се споменава тази конкретна точка, в която адресът на получателя на таксата има пълното одобрение да изтегли всеки токен от пуловете – което всъщност е важна единична точка на провал“.
„Ако това наистина е случай на компрометиране на частен ключ, то със сигурност няма да е първият“, каза Магалаес, наричайки правилното управление на ключовете на привилегированите адреси в протокола „критичен въпрос“. Той допълни, че смекчаващи мерки като многосигнални портфейли са от полза, но „наличието на пълно одобрение за прехвърляне на средства в един акаунт прави този частен ключ сочна мишена за хакери от черния сектор.“
Анди Джоу, главен изпълнителен директор на платформата за одит BlockSec, отиде още по-далеч, твърдейки, че макар одитите на интелигентни договори да са полезни за откриване на уязвимости и защита на активите на потребителите в протокола, „един аспект, който обикновено се пренебрегва, е какво става, ако самият протокол е злонамерен“, като например има намерение да „издърпа потребителите“.
В Twitter Джоу сравни Merlin с банка, която предварително дава разрешение, че нейният собственик може произволно да изтегли всички пари на клиентите.
„Ако знаете това, ще продължите ли да внасяте токените си в банката?“, попита изпълнителният директор на BlockSec.
Дайте ми парите си. да, господине!
Това е все едно банката да даде предварително разрешение, че собственикът на банката може произволно да изтегли парите на всички клиенти.
Ако знаете това, ще продължите ли да внасяте токените си в банката?
Точно така работи Merlin DEX. pic.twitter.com/7NdyhRpjky
– Yajin (Andy) Zhou (@yajinzhou) Април 26, 2023
Магалаес се съгласи, че одобрението на получателя на неограничени такси е „нещо, което изобщо не е необходимо за логиката на протокола“, като заяви пред TCN, че „бихме очаквали одитът да отбележи това като проблемно“.
„Това е още една причина, поради която е важно да имате повече от една външна страна, която да одитира вашия код. Това, което е пропуснато от една фирма, може да бъде отбелязано от друга“, казва Магалаеш.
В изявлението си до TCN CertiK отбеляза, че „макар одитите да могат да идентифицират потенциални рискове и уязвимости, те не могат да предотвратят злонамерени действия от страна на недобросъвестни разработчици, като например издърпване на килими“, и насърчи потребителите да търсят проекти, които са извършили доброволен процес на проверка на KYC. Одиторът също така подчерта, че „привилегиите на частните ключове са извън обхвата на одита на интелигентните договори“, но че остава ангажиран да оказва помощ на засегнатите потребители и да издирва отговорните за това, което определи като „измама за излизане“.
