審計公司CertiK態度反轉!不扛責Merlin遭駭180萬美元>願賠資金損失
發表於 2023-04-27 14:00 作者: 區塊鏈情報速遞pro
zkSync Era 生態中 DEX 協議 Merlin 遭駭 180 萬美元,負責審計 Merlin 的安全公司 CertiK 遭社群質疑,昨日發文稱,初步調查結果指向潛在的私鑰管理問題,不背合約漏洞的鍋;今(27)日態度卻急轉彎表示,正在探討社群補償計劃,以彌補用戶於 Merlin 損失的資金。 (前情提要:Merlin被駭是「Rug Pull」?分析師指官方藏後門,Certik否認安全審計出包 ) (背景補充:zkSync生態出包》DEX Merlin 遭駭 180 萬鎂!才剛完成審計、開啟公募 )
建構在以太坊 L2 擴容方案 zkSync 上的 DEX 協議 Merlin,本週稍早才剛完成審計、開啟公募,就遭駭 180 萬美元,引起加密社群的議論。社群成員分析指出,很可能是項目方的刻意 Rug Pull 行為,另也將矛頭指向負責審計 Merlin 的安全團隊 Certik。
針對社群的質疑,CertiK 於昨(26)日發文回應稱,目前正在調查 Merlin 事件,初步調查結果指向潛在的私鑰管理問題,並非因合約漏洞才導致協議遇駭,並表示審計不能防止私鑰問題。意味著 CertiK 認為,在這次的駭客事件中不應該背鍋,他們在合約審計上沒有任何失誤。
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
社群質疑 CertiK 的審計能力,像隨意檢查就放行的保全
隨著 Merlin 遭駭的事件延燒,知名 DeFi 研究員 @DefiIgnas 對負責審計 Merlin 的安全團隊 Certik 提出質疑:
閱讀審計報告後,CertiK 提到合約中「owner 帳戶可能允許駭客利用此權限」。
但是審計報告的摘要卻沒有這個資訊。
請問我是遺漏了什麼嗎?
Reading your audit, you mentioned that the "owner account may allow the hacker to take advantage of this authority."
But the audit summary did not have this info.
Am I missing something here? (I'm not a dev). pic.twitter.com/aqPgHD4dKt
— Ignas | DeFi Research (@DefiIgnas) April 26, 2023
在 Twitter 上有著超過 23.5 萬人追蹤,致力於研究 DeFi 領域的帳號 @thedefiedge,也發布推文嘲諷 CertiK 的審計,形容 CertiK 的審計就像是保全隨意檢查放行。
How Certik conducts their audits pic.twitter.com/Lco10WBtw3
— Edgy – The DeFi Edge ?️ (@thedefiedge) April 26, 2023
CertiK 正在規劃 Merlin 的補償計畫,彌補是因為理虧?
CertiK 或許是頂不住社群的質疑聲浪,又或是在審計上確實存在失誤;今(27)日凌晨 1 點發推文表示,目前 CertiK 正在探討社群補償計劃,以彌補 Merlin 損失約 200 萬美元的用戶資金,而詳細的補償計畫將在後續公開。
2/ We urge the rogue developers to accept a 20% white hat bounty. Although we raised the private key privilege issues in the audit report, we want to assist impacted users. We are determined to track down those behind this rug pull. More compensation details will be released.
— CertiK (@CertiK) April 26, 2023
另 CertiK 表示,初步調查發現攻擊者很可能位於歐洲,願意提供 20% 的白帽賞金為提案,且目前已經與執法部門共同合作追查。
?相關報導?
zkSync免費域名註冊!去中心化域名 zks.network(ZNS) 於18日22時上線
L2熱潮》zkSync Era鎖倉突破1.4億鎂!生態最大DEX SyncSwap宣佈發幣
L2深度分析》zkSync Era 是什麼?與Lite性能差異?埋伏空投互動教學
Tags: CertiKMerlinzkSync加密審計合約漏洞審計駭客攻擊標題:審計公司CertiK態度反轉!不扛責Merlin遭駭180萬美元>願賠資金損失
地址:https://www.coinsdeep.com/article/12810.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。