作者:北辰 今天有一个非常劲爆的新闻,昨晚11点才开启公售的Merlin(一个zkSync生态的DEX),到今天上午就发生了Rug Pull,卷走了价值约182万美金的LP资产。 劲爆的点不在于182万美金,而在于Merlin部署的代码刚刚通过了Certik的审计。 起初LP资产从zkSync被提取到了以太坊,外界还以为是遭到了黑客攻击,但当受害者检查了代码后,才发现原来合约本身就有问题。 这里直接援引Twitter博主@ConnorRepeat的分析结论——合约本来就允许feeTo地址(由开发者团队管理的手续费地址)最大限度地提取LP代币(token0、token1)。 不过Merlin团队坚决否认他们是Rug Pull,称正在分析此次漏洞事件。Certik也称他们的初步调查结果指向了私钥管理,而代码审计不能防止私钥问题。 总之,他们都对「代码中有暗门」这件事是视而不见、避而不谈、顾左右而言他…… 对于Merlin来说,无论是因为私钥被泄还是主动Rug Pull,其实二者没有任何区别。因为这就像一家中心化交易所在用户条款中声明「平台有权提取用户所有资金」并且用户的资金确实被提取了,那么负责人进监狱一点也不冤。 不过我们还是把关注点放在Certik以及Web安全赛道。 作为占据70%市场份额的Web3安全公司,Certik最大的优势是便宜。我们可以从极客公园正好是今天发布的《对话Web3安全超级独角兽CertiK:「誉满天下,谤满天下」》来一窥究竟。 “我们报价可以到压到几万甚至几千美金(对于简单合约)一次,把Web3安全审计的费用降低了90%以上,并且还在继续降低。“ 而廉价是建立在规模化服务的基础上。简单来说就是Certik创造了一套安全引擎,用机审来提高效率。“我们只是不让安全专家简简单单地直接读源代码。” 问题是,这套安全引擎是需要安全工程师标注来训练的,它无法检测出未被标注过的类型的风险,这在迭代速度非常快的Web3行业里非常冒险。 Certik没发现这次Merlin的Rug?Pull事件当然是偶然事件,但至少说明Certik的安全工程师在标注漏洞时,没想到会有开发者头铁到直接在代码中设置feeTo地址最大限度地提取LP代币…… 不过Certik的这种审计模式导致安全率降低以及暴雷事件增多(毕竟订单7也多)是必然的事情,就像一座城市的雾霾一定会增加肺病的概率,只是具体落在哪些人身上是随机的。 Web3安全公司Numen创始人Chris向链茶馆表示,“无论是Web3还是互联网,安全从来就不是一个点,而是一个面,即使合约、公链、钱包经过审计,但网站、办公网、服务器、PC甚至物理安全等任何一个出现问题,都有可能被黑客控制系统,从而窃取资产,所以最终的主战场一定是实时的安全威胁检测和防御。” 慢雾创始人余弦在Twitter上表示,“做区块链安全这行当,赚钱能力很重要,有敬畏之心更重要。如履薄冰、如临深渊…这八个字非常适合这个行当,撕开「繁华」的面纱,你看到的一定是黑暗森林”。 最后我发表一下作为外行的总结(可喷): 尚处早期的Web3行业,依旧需要作坊式的安全审计公司,像侦探那样去定制化地发现代码中隐藏的漏洞,而不是用现成的模板去按图索骥(这个更适合已经完全成熟了的领域)。 这场猫鼠游戏才刚刚开始! 查看更多 —- 编译者/作者:链茶馆 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
Certik没有发现RugPull?项目的代码中有暗门
2023-05-08 链茶馆 来源:区块链网络
LOADING...
相关阅读:
- 比较以太坊ZK系6个Layer2项目:探索ZkEVM的技术差异2023-05-08
- Sui是下一轮的行业叙事or上一轮的末日余晖2023-05-07
- 新闻周刊|白宫已将加密货币纳入其最新的新兴技术关注领域列表2023-05-07
- PEPE市值突破15亿美元24小时交易量近17亿美元2023-05-07
- CoboCOO:AI与区块链的融合将共同释放Web3潜力2023-05-06