L’auditeur CertiK, qui a réalisé un audit du DEX juste avant son lancement, accuse des « développeurs malhonnêtes » d’être à l’origine du piratage.
Dans un message publié sur Twitter, l’auditeur a déclaré que « les premières investigations indiquent que les développeurs malhonnêtes sont basés en Europe, et nous travaillons avec les forces de l’ordre pour les retrouver », et les a exhortés à accepter une prime de 20 % de la part d’un « white hat bounty ». Merlin a elle-même accusé « plusieurs membres de l’équipe Back-End » d’avoir vidé ses contrats dans un message sur Twitter.
Dans une déclaration envoyée à TCN, CertiK a déclaré qu’il travaillait avec « l’équipe Merlin restante » et l’équipe derrière le réseau ZKSync sur un plan de compensation pour les utilisateurs concernés. Merlin n’a pas encore répondu aux demandes de commentaires de TCN.
Construit sur zkSync, une solution de mise à l’échelle de la couche 2 d’Ethereum, Merlin n’a été lancé qu’il y a quelques jours avec la vente publique de son jeton MAGE. Immédiatement avant son lancement, Merlin a également reçu un audit de code de la part de la société de sécurité des contrats intelligents CertiK – une étape que de nombreuses entreprises cryptographiques considèrent comme essentielle pour assurer la sécurité des actifs des utilisateurs et maintenir la confiance des clients.
Selon CertiK, qui a déclaré qu’il « enquêtait activement » sur l’incident de Merlin, « les premières conclusions indiquent qu’un problème potentiel de gestion des clés privées est à l’origine de l’incident, plutôt qu’un exploit. «
1/ CertiK étudie un plan d’indemnisation de la communauté pour couvrir les quelque 2 millions de dollars de fonds perdus par les utilisateurs dans l’affaire Merlin DEX. Les premières investigations indiquent que les développeurs malhonnêtes sont basés en Europe, et nous travaillons avec les forces de l’ordre pour les retrouver.
⬇️⬇️⬇️
– CertiK (@CertiK) Le 26 avril 2023
« Bien que les audits ne puissent pas empêcher les problèmes de clés privées, nous mettons toujours l’accent sur les meilleures pratiques pour les projets. Si un acte répréhensible est découvert, nous travaillerons avec les autorités compétentes et partagerons les informations pertinentes », a déclaré CertiK dans un fil Twitter, ajoutant qu’il a souligné le risque de centralisation de Merlin dans son rapport d’audit.
Merlin a réagi à l’incident peu après dans une « annonce aux développeurs », demandant aux utilisateurs de « révoquer l’accès au site connecté sur leurs portefeuilles » par précaution.
La DEX a déclaré qu’elle analysait ce qui s’est passé et que « d’autres mises à jour seront fournies ».
Annonce du développeur
Est-ce que tout le monde peut révoquer l’accès au site connecté sur vos portefeuilles/autorisation de signature https://t.co/YRxH7IUU4T
Nous analysons l’exploit de notre protocole et soulignons que tout le monde effectue cette étape par précaution.
D’autres mises à jour seront fournies
– Merlin (@TheMerlinDEX) Le 26 avril 2023
Questions de centralisation
Les experts en sécurité de la blockchain ont signalé des « problèmes majeurs de centralisation » sur les contrats intelligents de Merlin DEX.
« Bien que nous soyons encore au début de cette histoire, il y a des indications qu’il y avait des problèmes majeurs de centralisation sur les smart contracts de Merlin DEX », a déclaré à TCN Gonçalo Magalhães, ingénieur en contrats intelligents à la plateforme de bug bounty Immunefi. « Plus précisément, l’adresse recevant les frais de pool était autorisée à drainer tous les fonds de chaque pool dans le protocole. »
Dans un tweet, un autre DEX basé sur zkSync, eZKalibur, a affirmé avoir identifié « le code malveillant responsable du drainage des fonds » dans les smart contracts de Merlin.
Nous avons fait des recherches sur les smart contracts de Merlin et nous avons identifié le code malveillant responsable du drainage des fonds.
Ces deux lignes de code dans la fonction d’initialisation donnent essentiellement l’autorisation à l’adresse feeTo de transférer un montant illimité (type(uint256).max)… pic.twitter.com/mIksh4HkhB
– eZKalibur ∎ (@zkaliburDEX) Le 26 avril 2023
Selon M. Magalhães d’Immunefi, bien que CertiK ait souligné certains problèmes de centralisation dans son audit, « il n’y a aucune mention de ce point spécifique, où l’adresse du bénéficiaire des frais a l’autorisation totale de retirer chaque jeton des pools – ce qui est en fait un point de défaillance singulier et crucial. »
« S’il s’agit bien d’un cas de compromission de clé privée, ce ne serait certainement pas le premier », a déclaré M. Magalhães, qualifiant de « question critique » la gestion correcte des clés des adresses privilégiées d’un protocole. Il a ajouté que des mesures d’atténuation telles que les portefeuilles multisig sont bénéfiques, mais que « l’approbation complète des transferts de fonds sur un seul compte fait de cette clé privée une cible juteuse pour les pirates informatiques. «
Andy Zhou, PDG de la plateforme d’audit BlockSec, est allé plus loin en affirmant que si les audits de contrats intelligents sont utiles pour localiser les vulnérabilités et protéger les actifs des utilisateurs dans le protocole, « un aspect qui est généralement ignoré est celui de savoir si le protocole lui-même est malveillant », par exemple s’il a l’intention de « tirer les utilisateurs vers le bas ».
Sur Twitter, M. Zhou a comparé Merlin à une banque préautorisant son propriétaire à retirer arbitrairement tout l’argent de ses clients.
« Si vous savez cela, continuerez-vous à déposer vos jetons à la banque ? », a demandé le PDG de BlockSec.
Donnez-moi votre argent. oui, Monsieur !
C’est comme si une banque autorisait à l’avance son propriétaire à retirer arbitrairement l’argent de tous ses clients.
Si vous le savez, allez-vous quand même déposer vos jetons à la banque ?
C’est ainsi que fonctionne Merlin DEX. pic.twitter.com/7NdyhRpjky
– Yajin (Andy) Zhou (@yajinzhou) Le 26 avril 2023
Magalhães a reconnu que l’approbation du bénéficiaire des honoraires illimités était « quelque chose qui n’était pas du tout nécessaire pour la logique du protocole », déclarant à TCN que « nous nous attendrions à ce qu’un audit ait signalé ce point comme étant préoccupant ».
« C’est une autre raison pour laquelle il est important que plusieurs parties externes vérifient votre code. Ce qui a échappé à une entreprise peut être signalé par une autre », a déclaré M. Magalhães.
Dans sa déclaration à TCN, CertiK a fait remarquer que « si les audits permettent d’identifier les risques potentiels et les vulnérabilités, ils ne peuvent pas empêcher les activités malveillantes de la part de développeurs malhonnêtes, comme les « rug pulls » », et a encouragé les utilisateurs à rechercher des projets qui ont mis en œuvre un processus volontaire de vérification KYC. L’auditeur a également souligné que « les privilèges liés aux clés privées n’entrent pas dans le champ d’application d’un audit de contrat intelligent », mais qu’il restait déterminé à aider les utilisateurs concernés et à traquer les responsables de ce qu’il a décrit comme une « escroquerie à la sortie ».
