新推出的去中心化交易所Merlin在周三被抽走了约182万美元的流动性资金,审计机构CertiK–在其推出前刚刚完成了对DEX的审计–指责 “流氓开发者 “进行了黑客攻击。
在Twitter上的一篇文章中,审计师说,”初步调查表明,流氓开发者位于欧洲,我们正在与执法部门合作追踪他们,”并敦促他们接受20%的白帽赏金。梅林公司自己在Twitter上指责 “后端团队的几个成员 “榨干了它的合同。
CertiK在发给TCN的声明中说,它正在与 “剩余的梅林团队 “和ZKSync网络背后的团队合作,为受影响的用户制定补偿计划。梅林公司尚未对TCN的评论请求作出回应。
Merlin建立在以太坊第二层扩展解决方案zkSync的基础上,几天前才开始公开销售其MAGE代币。在推出之前,Merlin还收到了智能合约安全公司CertiK的代码审计,这是许多加密货币企业认为在确保用户资产安全和维护客户信任方面必不可少的步骤。
据CertiK称,它正在 “积极调查 “Merlin事件,”初步调查结果表明,潜在的私钥管理问题而不是漏洞是根本原因。”
1/CertiK正在探索一项社区补偿计划,以弥补Merlin DEX事件中损失的约200美元的用户资金。初步调查显示,流氓开发商位于欧洲,我们正在与执法部门合作,追踪他们。
⬇️⬇️⬇️
– CertiK (@CertiK) April 26, 2023
“虽然审计不能防止私钥问题,但我们总是向项目强调最佳做法。如果发现任何犯规行为,我们将与有关当局合作并分享相关信息,”CertiK在Twitter上说,并补充说它已在其审计报告中强调了Merlin的集中化风险。
Merlin不久后在一份 “开发者公告 “中回应了这一事件,要求用户 “撤销他们钱包上的连接网站访问”,作为预防措施。
DEX表示,它正在分析所发生的事情,”将提供更多更新。”
开发商公告
每个人都可以在你的钱包上撤销连接的网站访问/签署许可https://t.co/YRxH7IUU4T
我们正在分析对我们协议的利用,并强调每个人都要执行这一步骤作为预防措施。
更多的更新将被提供
– Merlin (@TheMerlinDEX) April 26, 2023
集中化问题
区块链安全专家指出,Merlin DEX的智能合约存在 “重大中心化问题”。
“漏洞赏金平台Immunefi的智能合约工程师Gonçalo Magalhães告诉TCN,”尽管我们在整个事件中还处于早期,但有迹象表明Merlin DEX的智能合约存在重大的中心化问题。”具体来说,接收资金池费用的地址被允许从协议中的每个资金池中抽走所有资金。”
在一条推文中,另一个基于zkSync的DEX,eZKalibur,声称已经确定了Merlin的智能合约中 “负责抽走资金的恶意代码”。
我们对Merlin智能合约做了一些研究,我们确定了负责抽走资金的恶意代码。
初始化函数中的这两行代码实质上是批准了feeTo地址转移无限(type(uint256).max)… pic.twitter.com/mIksh4HkhB
– eZKalibur∎(@zkaliburDEX)April 26, 2023
根据Immunefi的Magalhães的说法,虽然CertiK在他们的审计中强调了一些集中化的问题,”没有提到这个具体的点,即费用接受者地址有充分的批准从池中提取每个代币–这实际上是一个关键的单一故障点。”
“如果这确实是一个私钥泄露的案例,那么这肯定不是第一个,”马加良说,称协议上特权地址的适当密钥管理是一个 “关键问题”。他补充说,多签名钱包等缓解措施是有益的,但 “在一个账户上拥有全部的资金转移批准,使得这个私钥成为黑客的一个多汁的目标。”
审计平台BlockSec的首席执行官Andy Zhou更进一步认为,虽然智能合约审计有助于定位协议中的漏洞和保护用户的资产,但 “通常被忽视的一个方面是,如果协议本身是恶意的怎么办”,比如说有 “拉拢用户 “的意图。
在推特上,周鸿祎将梅林比作一家银行的预授权,其所有者可以任意提取所有客户的钱。
“如果你知道这一点,你还会把你的代币存入银行吗?”BlockSec首席执行官问道。
把你的钱给我。是的,先生!
这就像银行预先授权,银行的老板可以任意提取所有客户的钱。
如果你知道这一点,你还会把你的代币存入银行吗?
这就是Merlin DEX的工作原理。pic.twitter.com/7NdyhRpjky
– Yajin (Andy) Zhou (@yajinzhou) April 26, 2023
Magalhães同意无限制的收费者批准是 “协议的逻辑完全不需要的东西,”他告诉TCN,”我们期望审计会将此标记为有关。”
“这就是为什么有一个以上的外部机构审计你的代码是很重要的另一个原因。Magalhães说:”一家公司漏掉的东西,可能会被另一家公司标记出来”。
在给TCN的声明中,CertiK指出,”虽然审计可以识别潜在的风险和漏洞,但它们不能防止流氓开发者的恶意活动,如拉锯战”,并鼓励用户寻找那些已经执行了自愿的KYC审查程序的项目。审计师还强调,”私钥权限不在智能合约的审计范围内”,但它仍然致力于协助受影响的用户,并追捕那些它称之为 “退出骗局 “的责任人。
