速安GeChe手游下载站_最新手机游戏下载门户网站!

游戏更新 | 安卓游戏 | 苹果游戏 | 推荐游戏 | 软件更新 | 文章更新 | 热门文章
您的位置: 首页  →  海外新闻 → 《Merlin被黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错

Merlin被黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错

2023-04-27 04:10:20      小编:网络整理      我要评论

欧意钱包安卓下载
欧意钱包安卓下载v1.6.3

类型:数字产品

大小:25.3MB

评分:5.0

平台:

标签:数字货币自由交易所

Merlin被黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错

速安下载站讯:基于零知识证明技术(ZK rollup)的以太坊L2扩容方案zkSync,在3月24日启动主网zkSync Era后,灾情频频传出,生态中的DEX协议Merlin本周稍早才刚完成审计、开启公募,就被黑180万美元,引起加密社群的议论。

社群质疑Merlin被黑是Rug Pull

随着案件延烧,根据社群用户@zkaliburDEX针对Merlin的合约进行分析,他表示此次被黑很可能是项目的内部行为:initialize函数中的有两行代码批准将uint256最大值分配给feeTo地址(部署者),在这种情况下,feeoTo地址有可能调用相应的tokentransferFrom函数,将token从合约地址转移到自己的地址。因此这很可能是项目方的内部行为。

另一名社群用户@delucinator也表示Merlin百分之百是Rug Pull(意译:跑路)。此外,他还对负责审计Merlin的安全团队Certik提出质疑:Certik对该协议进行了审计,且不像是被交换掉的前端,Certik看到了该合约中允许无限制地分配给某个随机地址,但仍然通过了它。

对此,区块链安全公司Verichains创办人Thanh Nguyen认同上述社群成员的看法,他指出「Merlin是一个明显的故意后门插入案例」。

“在Merlin代码中存在一个“后门”代码(L87-88),允许MerlinFactory的feeTo在交换函数中除了手续费外,转移交易对中的所有资产。这个后门是一个明显的安全风险,因为没有使用场景需要它的批准。CertiK必须承认其审计期间未注意到后门的代码。”

CertiK否认审计失误

针对上述的质疑,CertiK发文回应称,目前正在调查Merlin事件,初步调查结果指向一个潜在的私钥管理问题,而不是因为合约漏洞才导致协议被黑,并表示审计不能防止私钥问题。

然而,令人讽刺的是,同一日(26日)极客公园才刊文Certik创办人、哥伦比亚大学计算机系教授顾荣辉的专访,他在访谈中骄傲地表示:「CertiK几乎是靠一己之力把区块链安全变成一个赛道,吸引了很多关注,吃下安全市场70%的份额,把Web3安全审计的费用降低了90%以上。」

  • 最新游戏
  • 发表评论
手游排行 新游中心 热门专区 手机软件APP下载
网游排行榜 游戏攻略 网游下载 安卓软件APP下载
单机排行榜 手游礼包 单机下载 苹果ios应用下载
安卓排行榜 新游视频 手游下载
苹果排行榜