全球数字财富领导者

Certik没有发现Rug Pull​项目的代码中有暗门

2023-05-08 11:42:17
金色财经
金色财经
关注
0
0
获赞
粉丝
喜欢 12 0收藏举报
— 分享 —
摘要:​猫鼠游戏才刚刚开始!

znnNo814ZiYhWIijq1JwaNACD6orb3XUT9QDrtWC.jpeg

作者:北辰

 

今天有一个非常劲爆的新闻,昨晚11点才开启公售的Merlin(一个zkSync生态的DEX),到今天上午就发生了Rug Pull,卷走了价值约182万美金的LP资产。

 

劲爆的点不在于182万美金,而在于Merlin部署的代码刚刚通过了Certik的审计。

 

起初LP资产从zkSync被提取到了以太坊,外界还以为是遭到了黑客攻击,但当受害者检查了代码后,才发现原来合约本身就有问题。

 

这里直接援引Twitter博主@ConnorRepeat的分析结论——合约本来就允许feeTo地址(由开发者团队管理的手续费地址)最大限度地提取LP代币(token0、token1)。

 

https://r.sinaimg.cn/large/article/68b0029d550332d4d537845361a5832f

 

不过Merlin团队坚决否认他们是Rug Pull,称正在分析此次漏洞事件。Certik也称他们的初步调查结果指向了私钥管理,而代码审计不能防止私钥问题。

 

总之,他们都对「代码中有暗门」这件事是视而不见、避而不谈、顾左右而言他……

 

对于Merlin来说,无论是因为私钥被泄还是主动Rug Pull,其实二者没有任何区别。因为这就像一家中心化交易所在用户条款中声明「平台有权提取用户所有资金」并且用户的资金确实被提取了,那么负责人进监狱一点也不冤。

 

不过我们还是把关注点放在Certik以及Web安全赛道。

 

作为占据70%市场份额的Web3安全公司,Certik最大的优势是便宜。我们可以从极客公园正好是今天发布的《对话Web3安全超级独角兽CertiK:「誉满天下,谤满天下」》来一窥究竟。

 

“我们报价可以到压到几万甚至几千美金(对于简单合约)一次,把Web3安全审计的费用降低了90%以上,并且还在继续降低。“

 

而廉价是建立在规模化服务的基础上。简单来说就是Certik创造了一套安全引擎,用机审来提高效率。“我们只是不让安全专家简简单单地直接读源代码。”

 

问题是,这套安全引擎是需要安全工程师标注来训练的,它无法检测出未被标注过的类型的风险,这在迭代速度非常快的Web3行业里非常冒险。

 

Certik没发现这次Merlin的Rug Pull事件当然是偶然事件,但至少说明Certik的安全工程师在标注漏洞时,没想到会有开发者头铁到直接在代码中设置feeTo地址最大限度地提取LP代币……

 

不过Certik的这种审计模式导致安全率降低以及暴雷事件增多(毕竟订单7也多)是必然的事情,就像一座城市的雾霾一定会增加肺病的概率,只是具体落在哪些人身上是随机的。

 

Web3安全公司Numen创始人Chris向链茶馆表示,“无论是Web3还是互联网,安全从来就不是一个点,而是一个面,即使合约、公链、钱包经过审计,但网站、办公网、服务器、PC甚至物理安全等任何一个出现问题,都有可能被黑客控制系统,从而窃取资产,所以最终的主战场一定是实时的安全威胁检测和防御。”

 

慢雾创始人余弦在Twitter上表示,“做区块链安全这行当,赚钱能力很重要,有敬畏之心更重要。如履薄冰、如临深渊…这八个字非常适合这个行当,撕开「繁华」的面纱,你看到的一定是黑暗森林”。

 

最后我发表一下作为外行的总结(可喷):

 

尚处早期的Web3行业,依旧需要作坊式的安全审计公司,像侦探那样去定制化地发现代码中隐藏的漏洞,而不是用现成的模板去按图索骥(这个更适合已经完全成熟了的领域)。

 

这场猫鼠游戏才刚刚开始!

来源:金色财经

敬告读者:本文为转载发布,不代表本网站赞同其观点和对其真实性负责。FX168财经仅提供信息发布平台,文章或有细微删改。
go