“流氓开发者”让 Merlin DEX 损失 182 万美元

周三，新推出的去中心化交易所 Merlin 从其流动性池中流失了约 182 万美元，审计师 CertiK（在 DEX 推出前完成了审计）指责“流氓开发商”应对黑客攻击。

在Twitter上的一篇帖子中，审计员表示，“初步调查表明流氓开发者位于欧洲，我们正在与执法部门合作追查他们，”并敦促他们接受 20% 的白帽赏金。Merlin 自己在Twitter 帖子中指责“后端团队的几名成员”耗尽了合同。

在发给 Decrypt 的一份声明中，CertiK 表示正在与“剩余的 Merlin 团队”和 ZKSync 网络背后的团队合作，为受影响的用户制定补偿计划。Merlin 尚未回应 Decrypt 的置评请求。

Merlin建立在zkSync之上，这是一种以太坊第 2 层扩展解决方案，几天前才推出其 MAGE 代币的公开发售。在推出之前，Merlin 还接受了智能合约安全公司 CertiK 的代码审计——许多加密货币企业认为这一步骤对于确保用户资产安全和维护客户信任至关重要。

根据 CertiK 的说法，它表示正在“积极调查”Merlin 事件，“初步调查结果表明潜在的私钥管理问题，而不是漏洞利用作为根本原因。”

“虽然审计不能防止私钥问题，但我们始终强调项目的最佳实践。如果发现任何犯规行为，我们将与有关当局合作并分享相关信息，”CertiK 在推特帖子中表示，并补充说它已在其审计报告中强调了 Merlin 的中心化风险。

不久之后，Merlin在一份“开发者公告”中回应了这一事件，要求用户“撤销他们钱包上的连接站点访问权限”作为预防措施。

DEX 表示正在分析发生的情况，“将提供更多更新”。

中心化问题

区块链安全专家指出了 Merlin DEX 智能合约的“主要中心化问题”。

漏洞赏金平台 Immunefi 的智能合约工程师 Gonçalo Magalhães 告诉 Decrypt：“尽管我们还处于整个故事的早期阶段，但有迹象表明 Merlin DEX 智能合约存在重大集中化问题。” “具体来说，地址接收池费用被允许从协议中的每个池中耗尽所有资金。”

在一条推文中，另一个基于 zkSync 的 DEX eZKalibur 声称已经在 Merlin 的智能合约中识别出“负责耗尽资金的恶意代码”。

根据 Immunefi 的 Magalhães 的说法，虽然 CertiK 在他们的审计中强调了一些中心化问题，但“没有提到这一点，即费用接收地址已完全批准从池中提取每个代币——这实际上是一个关键的单一故障点。 ”

Magalhães 说：“如果这确实是私钥泄露的情况，那么这肯定不是第一次，”他称对协议特权地址进行适当的密钥管理是“关键问题”。他补充说，多重签名钱包等缓解措施是有益的，但“在单个账户上获得完整的资金转移批准会使这个私钥成为黑帽黑客的诱人目标。”

审计平台 BlockSec 的首席执行官 Andy Zhou 更进一步，认为虽然智能合约审计有助于定位协议中的漏洞和保护用户资产，“但通常被忽略的一个方面是如果协议本身是恶意的， ”，例如有意“吸引用户”。

在 Twitter 上，Zhou将Merlin 比作银行预授权，其所有者可以任意提取所有客户资金。

“如果你知道这些，你还会把代币存入银行吗？” BlockSec CEO 问。

Magalhães 同意，无限制的费用接受者批准是“协议逻辑根本不需要的东西”，他告诉 Decrypt，“我们希望审计将其标记为令人担忧。”

“这是让多个外部方审核您的代码很重要的另一个原因。一家公司遗漏的内容可能会被另一家公司标记出来，”Magalhães 说。

CertiK 在给 Decrypt 的声明中指出，“虽然审计可以识别潜在的风险和漏洞，但它们无法阻止流氓开发人员的恶意活动，例如 rug pulls”，并鼓励用户寻找已经进行了自愿 KYC 审查的项目过程。审计员还强调，“私钥特权不在智能合约审计的范围之内”，但它仍然致力于协助受影响的用户，并追捕那些应对其所谓的“退出骗局”负责的人。