新しく立ち上げられた分散型取引所Merlinは、水曜日にその流動性プールから約182万ドルを流出させられ、立ち上げ直前にDEXの監査を終えた監査人CertiKは、このハッキングについて「不正な開発者」と非難しました。
監査法人はツイッターへの投稿で、「初期調査の結果、不正な開発者はヨーロッパに拠点を置いており、我々は法執行機関と協力して彼らを追跡している」と述べ、20%のホワイトハット賞金を受け取るように促した。Merlin自身もTwitterの投稿で、契約を流出させた「Back-Endチームの数名のメンバー」を非難しています。
CertiKはTCNに送った声明の中で、「残っているMerlinチーム」とZKSyncネットワークのチームと協力して、影響を受けたユーザーへの補償計画を立てていると述べています。Merlinは、TCNのコメント要求に対してまだ返答していません。
Ethereumレイヤー2スケーリングソリューションであるzkSync上に構築されたMerlinは、数日前にMAGEトークンの一般販売でローンチしたばかりです。これは、多くの暗号ビジネスがユーザーの資産の安全性を確保し、顧客の信頼を維持するために不可欠と考えているステップです。
CertiKは、Merlinのインシデントを「積極的に調査中」と述べていますが、「最初の調査結果は、根本的な原因として悪用ではなく、秘密鍵管理の問題の可能性を指摘しています」
。
(ユーブイエックスダブリューエル
1/CertiKは、Merlin DEXの不正使用で失われたユーザー資金~200万ドルをカバーするためのコミュニティ補償計画を検討しています。最初の調査によると、不正な開発者はヨーロッパに拠点を置いており、我々は法執行機関と協力して彼らを追跡しているところです。
⬇️⬇️⬇️
– CertiK (@CertiK) April 26, 2023
(ユーブイエックスダブリュージェイ)
「監査で秘密鍵の問題を防ぐことはできませんが、私たちは常にプロジェクトに対してベストプラクティスを強調しています。CertiKはTwitterのスレッドで、「不正行為が発見された場合、適切な当局と協力し、関連情報を共有します」と述べ、監査報告書でMerlinの集中化リスクを強調したことを付け加えた。
マーリンは直後に「開発者向け発表」でこの事件に対応し、予防措置として「ウォレットの接続サイトアクセスを取り消す」ようユーザーに要請した。
DEXは、何が起こったかを分析しており、「さらなるアップデートが提供される」と述べている。”
(ユーブイエックスダブリューエル
デベロッパーからのお知らせ」。
みんなウォレットの接続サイトアクセスを取り消せるか/サイン許可 https://t.co/YRxH7IUU4T
私たちは、私たちのプロトコルの悪用を分析しており、誰もが予防措置としてこのステップを実行することを強調したいです。
さらなるアップデートが提供されます
– Merlin (@TheMerlinDEX) 2023年4月26日
。
(ユーブイエックスダブリュージェイ)
中央集権問題
ブロックチェーンセキュリティ専門家は、マーリンDEXのスマートコントラクトについて「大きな集中化の問題」を指摘しています。
バグ報奨金プラットフォームImmunefiのスマートコントラクトエンジニアであるGonçalo Magalhães氏はTCNに、「この全体的な話にはまだ早いのですが、Merlin DEXのスマートコントラクトに大きな集中化の問題があったことが示唆されています」と述べています。”具体的には、プール料金を受け取るアドレスが、プロトコル内のすべてのプールからすべての資金を流出させることが許されていました。”
ツイートでは、別のzkSyncベースのDEXであるeZKaliburが、Merlinのスマートコントラクトで「資金を流出させる原因となる悪質なコード」を特定したと主張しています
。
我々はマーリンのスマートコントラクトについて調査し、資金流出の原因となる悪質なコードを特定した。
initialize関数内のこの2行のコードは、基本的にfeeToアドレスに無制限(type(uint256).max)の送金の承認を与えている… pic.twitter.com/mIksh4HkhB
– eZKalibur ∎ (@zkaliburDEX) April 26, 2023
(ユーブイエックスダブリュージェイ)
ImmunefiのMagalhãesによると、CertiKは監査の中で集中化の懸念をいくつか強調しましたが、「料金受取人のアドレスがプールからすべてのトークンを引き出すことを完全に承認しているというこの特定の点については言及されていません-これは実際に重要な単一障害点です」。
Magalhães氏は、「もしこれが本当に秘密鍵の漏洩であったとしたら、それは決して初めてのことではありません」と述べ、プロトコル上の特権アドレスの適切な鍵管理は「重要な問題」であるとしています。マガリャイス氏は、マルチシグウォレットなどの対策は有効だが、「1つのアカウントですべての資金移動を承認することは、この秘密鍵がブラックハットハッカーの格好のターゲットになる」と付け加えた
。
監査プラットフォームBlockSecのCEOであるAndy Zhou氏は、さらに一歩踏み込んで、スマートコントラクトの監査はプロトコルの脆弱性を突き止め、ユーザーの資産を保護するのに役立つが、「通常無視される一つの側面は、もしプロトコル自体が悪意を持っていた場合どうなるか」、例えば「ユーザーの足を引っ張る」意図を持つものであると主張しています。
周はTwitterで、Merlinを、その所有者が任意にすべての顧客のお金を引き出すことができる銀行の事前承認に例えました。
「このことが分かっていても、トークンを銀行に預けるのでしょうか」と、BlockSecのCEOは問いかけた
。
(ユーブイエックスダブリューエル
Give me your money. yes, Sir!
銀行のオーナーがすべての顧客のお金を任意に引き出すことができることを、銀行が事前に承認しているようなものです。
それがわかっていても、あなたはトークンを銀行に預けるのでしょうか?
それがMerlin DEXの仕組みです。pic.twitter.com/7NdyhRpjky
– Yajin (Andy) Zhou (@yajinzhou) April 26, 2023
(ユーブイエックスダブリュージェイ)
(ユーブイエックスダブリューケー
Magalhãesは、無制限料金の受領者承認が「プロトコルの論理に全く必要ないもの」であることに同意し、「監査がこれを問題視することを期待していた」とTCNに語った。
“これは、複数の外部機関によるコードの監査が重要であるもう一つの理由です。ある会社で見逃されたことが、別の会社で指摘されるかもしれません」とMagalhãesは述べています。
CertiKはTCNへの声明の中で、「監査は潜在的なリスクや脆弱性を特定することはできますが、ラグプルのような不正な開発者側の悪意ある活動を防ぐことはできません」と指摘し、ユーザーに自主的にKYC審査を行っているプロジェクトを探すよう促しています。また、監査法人は「秘密鍵の権限はスマートコントラクトの監査の範囲外である」と強調しながらも、影響を受けたユーザーを支援し、「出口詐欺」と表現した責任者を追い詰めることに引き続き尽力すると述べています
。