سرقت ۱.۸ میلیون دلار در هک صرافی غیر متمرکز مرلین؛ اعتبار بازبینی امنیتی سرتیک زیر سوال رفت
مرلین (Merlin) – صرافی غیرمتمرکزی که بر بستر zkSync (راهکار لایه ۲ اتریوم) فعالیت میکند – مدتی کوتاه پس از دریافت تاییدیه Certik هک شد و بیش از ۱.۸۲ میلیون دلار از داراییهای آن به سرقت رفت.
به نقل از TheBlock، سرتیک توییت کرد که در حال بررسی این حادثه است و یافتههای اولیه آن حاکی از یک مشکل بالقوه در مدیریت کلید خصوصی است و نه لزوما سوء استفاده از کد. سرتیک در این باره اظهار داشت:
با وجود اینکه بازبینی امنیتی نمیتواند از مسائل نشئت گرفته از مدیریت کلید خصوصی جلوگیری کند، ما همیشه تلاش کردهایم که روشهای بهینه مدیریت کلید خصوصی را به پروژهها گوشزد کنیم. با این حال در صورت کشف هرگونه کوتاهی از سوی ما، با مقامات مربوطه کار خواهیم کرد و اطلاعات مربوطه را منتشر خواهیم کرد. منتظر بهروزرسانیهای بعدی باشید.
با این حال ایزیکلیبر (eZKalibur)، صرافی غیرمتمرکزی که مانند مرلین بر بستر zkSync فعالیت میکند و همچنین مانند مرلین بخشی از کد قرارداد صرافی کمِلات (Camelot) را فورک کرده است، ادعا میکند که کد مخربِ مسئول تخلیه وجوه را شناسایی کرده است. در توییت eZKalibur در این باره میخوانیم:
این دو خط کد در تابع مقداردهی اولیه به آدرس feeTo اجازه میدهند که مقدار نامحدودی از token0 و token1 را از آدرس قرارداد جابجا کنند. به این ترتیب آدرس feeTo میتواند تابع transferFrom را فراخوانی کند تا توکنها را از آدرس قرارداد به خودش منتقل کند.
چطور Certik این قرارداد رو بازبینی کرده؟
با وجود اینکه Certik خطر تمرکز را در حسابرسی خود از دکس مرلین برجسته کرده است، برخی معتقدند که باید بر خطر راگ پول تاکید میشد. eZKalibur در مصاحبه با TheBlock اظهار داشت:
چنین یافتهای حتی اگر به عنوان یک «نقص بحرانی» گزارش نشد باید به عنوان یک «نقص عمده» گزارش میشد و نمیتوان آن را یک نقص ساده در تمرکززدایی پروژه قلمداد کرد. این نقص بدون قفل زمانی میتوانست به تخلیه کامل موجودی پروژه منجر شود کما اینکه شد!
توسعهدهندگان مرلین از کاربران خواستهاند مجوزهای اعطا شده به وب سایت مرلین را لغو کنند و اعلام کردهاند که در حال تجزیه و تحلیل سوء استفاده از این پروتکل هستند.
