Merlin被駭是「Rug Pull」？分析師指官方藏後門，Certik否認安全審計出包

發表於 2023-04-26 20:00 作者： 區塊鏈情報速遞pro

zkSync Era 生態中 DEX 協議 Merlin 才剛完成審計、剛剛開始公募，就遭駭 180 萬美元，引起加密社群的議論。社群成員分析指出，此次很可能是項目方的刻意 Rug Pull 行為，並對負責審計 Merlin 的安全團隊 Certik 提出質疑。 （前情提要：zkSync生態出包》DEX Merlin 遭駭 180 萬鎂！才剛完成審計、開啟公募） （背景補充：L2深度分析》zkSync Era 是什麼？與Lite性能差異？埋伏空投互動教學）

社群質疑 Merlin 遭駭是 Rug Pull

隨著案件延燒，根據社群用戶 @zkaliburDEX 針對 Merlin 的合約進行分析，他表示此次遇駭很可能是項目的內部行為：

initialize 函數中的有兩行程式碼批准將 uint256 最大值分配給 feeTo 地址（部署者），在這種情況下，feeoTo 地址有可能調用相應的 token transferFrom 函數，將 token 從合約地址轉移到自己的地址。因此這很可能是項目方的內部行為。

另一名社群用戶 @delucinator 也表示 Merlin 百分之百是 Rug Pull（意譯：跑路）。此外，他還對負責審計 Merlin 的安全團隊 Certik 提出質疑：

Certik 對該協議進行了審計，且不像是被交換掉的前端，Certik 看到了該合約中允許無限制地分配給某個隨機地址，但仍然通過了它。

and Certik did audit this, it's not like a swapped out frontend, Certik legit saw the contract allow infinite to some random ass address and gave it a pass pic.twitter.com/jbAVfD3O8R

— yieldfarming (@delucinator) April 26, 2023

對此，區塊鏈安全公司 Verichains 創辦人 Thanh Nguyen 認同上述社群成員的看法，他指出「Merlin 是一個明顯的故意後門插入案例」。

在 Merlin 程式碼中存在一個“後門”程式碼（L87-88），允許 MerlinFactory 的 feeTo 在交換函數中除了手續費外，轉移交易對中的所有資產。這個後門是一個明顯的安全風險，因為沒有使用場景需要它的批准。

CertiK 必須承認其審計期間未注意到後門的程式碼。

CertiK 否認審計失誤

針對上述的質疑，CertiK 發文回應稱，目前正在調查 Merlin 事件，初步調查結果指向一個潛在的私鑰管理問題，而不是因為合約漏洞才導致協議遇駭，並表示審計不能防止私鑰問題。

We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.

While audits cannot prevent private key issues, we always highlight best practices to projects.

Should any foul…

— CertiK (@CertiK) April 26, 2023

然而，令人諷刺的是，同一日（26日）極客公園才刊文 Certik 創辦人、哥倫比亞大學計算機系教授顧榮輝的專訪，他在訪談中驕傲地表示：「CertiK 幾乎是靠一己之力把區塊鏈安全變成一個賽道，吸引了很多關注，喫下安全市場 70% 的份額，把 Web3 安全審計的費用降低了 90% 以上。」

標題：Merlin被駭是「Rug Pull」？分析師指官方藏後門，Certik否認安全審計出包

地址：https://www.coinsdeep.com/article/12768.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。