扬帆股票网(www.yfbx.cn)讯:基于零知识证明(ming)技术(ZK rollup)的以太坊L2扩容方案zkSync,在(zai)3月24日启动主(zhu)网zkSync Era后,灾情频频(pin)传出,生态中的DEX协议Merlin本周稍早才刚完成(cheng)审计、开启公募,就被黑(hei)180万美元,引起(qi)加密社群的议论。
社群质疑Merlin被黑是Rug Pull
随着案(an)件延烧,根据社群用户@zkaliburDEX针对Merlin的合约进行分析,他表示此次被(bei)黑很可能是项目的内部行为:initialize函数中的有两行代码(ma)批准将uint256最大值分配给feeTo地址(部署者),在这(zhe)种情况下,feeoTo地址有可能调用相(xiang)应的tokentransferFrom函数,将(jiang)token从合约地址(zhi)转移到自己的地址。因此(ci)这很可能是项目方(fang)的内部行为。
另(ling)一名社群用户@delucinator也表示Merlin百分(fen)之百是Rug Pull(意译:跑路)。此外,他还对负(fu)责审计Merlin的安全团队(dui)Certik提出质疑:Certik对该协议进行了审计,且不(bu)像是被交换掉的前端,Certik看到了该合(he)约中允许无限制(zhi)地分配给某个随机地址,但仍然通过(guo)了它。
对此,区块(kuai)链安全公司Verichains创(chuang)办人Thanh Nguyen认同(tong)上述社群成员的看法,他指出「Merlin是一个明显(xian)的故意后门插入案例」。
“在Merlin代码中存在一个“后门”代码(L87-88),允许MerlinFactory的feeTo在交换函数中除了(le)手续费外,转移交易对中的所有资产(chan)。这个后门是一个明显的安全风险,因(yin)为没有使用场景需要它的批(pi)准。CertiK必须承认其审计期间未注意到(dao)后门的代码。”
CertiK否认审计失误
针对上述的质疑,CertiK发文回应称,目前正(zheng)在调查Merlin事(shi)件,初步调查结果指向(xiang)一个潜在的私钥管理问(wen)题,而不是因为合约漏洞才导致(zhi)协议被黑,并表(biao)示审计不能防止私(si)钥问题。
然而,令人讽刺的是,同一日(ri)(26日)极客公园(yuan)才刊文Certik创(chuang)办人、哥伦比亚大学计算机(ji)系教授顾荣辉的专访,他在访谈中骄傲(ao)地表示:「CertiK几乎是靠一己之力把(ba)区块链安全变成一个赛道,吸引了(le)很多关注,吃下安全市场70%的份额,把(ba)Web3安全审(shen)计的费用降低了90%以上。」
