Merlin DEX - 翻车



Merlin玩起了经典的DeFi魔术,180万美元就在一阵烟雾中消失了。

Merlin是最近推出的zksync L2的原生DEX,当时正在进行为期3天的"流动性激励活动",作为其代币(MAGE)发行的一部分。

在Peckshield发出告警消息之前,警报最初是由一位社区成员发出的。Merlin随后承认了这一事故,建议用户撤销授权作为预防措施。

不要与三次进入排行榜的Merlin Labs(在2021年春季的BSC血战中被 攻击)混淆,而本次的Merlin在被攻击前两天刚刚通过 Certik的第二次审计

Merlin的故事可能是一个简单的抽毯子行为;一个我们以前听过很多次的故事。

但是,这一次,Merlin无意中引发了一场关于审计方式价值的辩论......

信息来源:BeosinAlert

这次抽毯子的原理很简单,即把用户作为MAGE代币销售的一部分而存入的流动性池子抽走。

这是通过在部署资金池时给予Feeto地址的最大批准来实现的。控制Feeto地址的个人可以将池子里的所有资产抽走,然后再跨链到以太坊上。

Merlin自己的事后总结将责任完全归咎于后端开发团队。该总结中包括开发人员的github主页链接,并指出已与塞尔维亚当局联系。

黑客地址(资金被抽走): 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

更多细节和地址见Beosin的完整分析

被盗资金跨链回以太坊,换成ETH并转移到其他地址。

这是在zksync上发生的第一起攻击事件(zksync是一个零知识证明以太坊rollup网络,其主网在3月推出)。

没过多久,这个新环境就成为了黑客攻击目标......

本月早些时候,zksync已经有过一次险情,他们的Twitter账号被盯上了(估计是为了进行网络钓鱼活动)。

随着新生态的蓬勃发展,利用令人兴奋的技术来推动我们的行业发展,坏人永远不会远离。

对于那些想在用户身上抽毯子或寻找脆弱的、匆忙部署代码的潜在的黑客来说,不费力的现金抢夺是一个完美的蜜罐......


一般来说,对于那些不确定是否要进场的人来说,有信誉的区块链安全公司的审计是一个好信号。

但是,当一些公司看起来不像是品质的象征,而更像是一种红色警报的时候,什么才算得上是 "有信誉"?

就在他们最近审计通过项目被攻击的同一天,Certik的创始人吹嘘他们为行业带来了大量物美价廉的审计。

由于Certik在如此多的翻车项目上审计盖章背书,许多人对该公司在该领域的价值产生了怀疑。

应该注意的是,在最初的审计中,Certik确实提出了信任的问题,建议协议采取措施,充分分散权力:

我们建议客户仔细管理特权账户的私钥,以避免任何被黑客攻击的潜在风险。总的来说,我们强烈建议通过去中心化的机制或基于智能合约的账户来改善协议中的中心化特权或角色,并加强安全做法,例如多重签名钱包。

然而,这个问题被Certik标记为"已解决",他说Merlin团队已经承诺使用多签名。很多用户显然没有完全阅读审计报告,或者根本不在乎信任这个项目的影响。

面对社区声讨该代码包括一个故意的后门,Certik显然感到了压力。该公司正在考虑一个"社区赔偿计划"来弥补损失。

快速和愚蠢的审计不应该被认为是足够的保证,特别是对于价值数百万美元的协议。为了保持安全,一些个人责任也是必要的......

江山易改,本性难移。

当许多协议有中心化的问题,有可能导致抽毯子,但却被FOMO的猛冲党羊毛党忽视......

到底该追究谁的责任?


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。