zkSync Era 生態的 DEX 協議 Merlin 於 4 月底傳出遭駭 180 萬美元,原本被社群砲轟的審計安全公司 CertiK 今日再發文澄清:漏洞來自官方潛在的私鑰管理問題,不對此次事件背鍋。
(前情提要:Merlin被駭是「Rug Pull」?分析師指官方藏後門,Certik否認安全審計出包 )
(背景補充:zkSync生態出包》DEX Merlin 遭駭 180 萬鎂!才剛完成審計、開啟公募 )
就在 4 月底,zkSync Era 生態的 DEX 協議 Merlin,宣布已由 CertiK 審計完成智能合約、開啟其代幣 $MAGE 的公募,結果不到 12 小時內就遭駭 180 萬美元,社群因此質疑審計安全公司 CertiK 為什麼沒有發現安全漏洞?
今日發推稱:是內部人員「Rug Pull」
對此,Certik 曾在 4 月 26 日表示從初步調查結果中,問題是來自於 Merlin 潛在的私鑰管理問題,Certik 不應該為此背鍋。
而在今(5)日,Certik 再度進一步發推澄清:此次事件確定是由 Merlin 內部人員濫用所有者錢包的權限,Rug pull 了所有用戶。
同時 Certik 表示在發生事件當下,曾想找團隊剩餘內部人員合作,但是許多核心成員不願配合身份查核,目前已經尋求執法部門的幫助,向美國和英國的有關機構提交所有訊息。
We want to provide the community with an update regarding the Merlin DEX incident that took place on April 25th, when Merlin insiders rugpulled their users for $1.8M.
🧵👇
— CertiK (@CertiK) May 4, 2023
Certik 承諾會加強中心化風險的審計
知名 DeFi 研究員 @DefiIgnas 先前對負責審計 Merlin 的安全團隊 Certik 提出質疑:
閱讀審計報告後,CertiK 提到合約中「owner 帳戶可能允許駭客利用此權限」。
但是審計報告的摘要卻沒有這個資訊。請問我是遺漏了什麼嗎?
Certik 在推文中也說明表示,儘管審計報告中有提到中心化風險,但沒有清楚地說明可能帶來的影響,未來會特別指出讓用戶能夠意識到潛在危機;同時 Certik 表示目前已順利凍結 16 萬美元的資金,承諾將繼續監控所有被盜資金的流向。
對此議題,社群也展開討論,有人暗酸「所以一個去中心化交易所其實是一個中心化交易所,而 Certik 沒有意識到這一點!?」…但也有人認為大多數加密貨幣項目都存在中心化問題,但不會 Rug pull 用戶,所以確實是 Merlin 團隊的問題。
200 萬補償計畫跳票?
值得注意的是,Certik 先前曾提出的「社群補償計劃」似乎出現了變數,原本 Certik 承諾將提供 200 萬美元以彌補 Merlin 事件中的用戶損失。
可是在今日的推文中,Certik 說明這 200 萬美元將用於「打擊詐騙、幫助身陷騙局的受害者」,而沒有明確提到這筆資金會拿來補償害者。
因此社群就有人推測, Certik 或許是在確定問題來自官方後,反悔不該為這 200 萬美元損失扛責,因此決定換個說法。目前 Certik 究竟是否會補償 Merlin 事件的受害者、賠多少?還有待進一步消息。
延伸閱讀:審計公司CertiK態度反轉!不扛責Merlin遭駭180萬美元>願賠資金損失
📍相關報導📍
zkSync免費域名註冊!去中心化域名 zks.network(ZNS) 於18日22時上線
