영지식증명 기술(ZK 롤업) 을 기반으로 한 이더리움 L2 확장 솔루션인 zkSync가 3월 24일 메인넷 zkSync Era를 출시한 후 재난이 자주 확산 되면서 생태계의 DEX 프로토콜인 Merlin이 방금 감사를 완료하고 공개 서비스를 시작했습니다. 이번 주 초에 180만 달러의 해킹을 당해 암호화 커뮤니티에서 논의가 일어났습니다.
확장 읽기: zkSync Era 패키지》921 ETH 카드 계약은 수집할 수 없습니다! 팀은 일부 기능이 EVM과 동일하지 않음을 인정합니다.
커뮤니티에서는 Merlin의 해킹이 Rug Pull인지에 대해 질문합니다.
사건이 퍼지자 커뮤니티 사용자 @zkaliburDEX는 Merlin의 계약을 분석하고 해킹이 아마도 프로젝트 내부 행위였을 것이라고 말했습니다 .
초기화 함수에는 uint256의 최대값을 feeTo 주소(배포자)에 할당할 수 있도록 하는 두 줄의 코드가 있습니다. 이 경우 feeTo 주소는 해당 토큰 transferFrom 함수를 호출하여 계약 주소에서 토큰을 전송할 수 있습니다. 자신의 주소로.. 따라서 이는 프로젝트 당사자의 내부 행동일 가능성이 높습니다.
또 다른 커뮤니티 사용자 @delucinator도 Merlin이 100% Rug Pull 이라고 말했습니다 . 또한 그는 Merlin 감사를 담당하는 보안 팀인 Certik에도 질문했습니다.
Certik은 프로토콜을 감사했고, 교체된 프런트 엔드와는 달리 Certik은 계약이 임의 주소에 대한 무제한 할당을 허용한다는 것을 확인했지만 여전히 이를 통과했습니다.
이에 대해 블록체인 보안업체 베리체인스(Verichains)의 창업자인 탄 응웬(Thanh Nguyen)도 위에서 언급한 커뮤니티 회원들의 의견에 동의하며 “멀린은 의도적인 백도어 삽입이 명백한 사례” 라고 지적했다 .
Merlin 코드에는 MerlinFactory의 feeTo가 교환 기능의 처리 수수료를 제외하고 거래 쌍의 모든 자산을 전송할 수 있도록 하는 "백도어" 코드(L87-88)가 있습니다. 이 백도어는 승인이 필요한 사용 시나리오가 없기 때문에 확실한 보안 위험이 있습니다.
CertiK는 감사 중에 백도어 코드를 발견하지 못했다는 점을 인정해야 합니다.
CertiK, 감사 실수 부인
위와 같은 의혹에 대해 CertiK는 현재 멀린 사건을 조사 중이라는 성명을 발표했으며, 예비 조사 결과 프로토콜 해킹을 일으킨 계약 취약점이 아닌 잠재적인 개인 키 관리 문제가 지적되고 있다고 밝혔습니다. 감사로는 개인 키 문제를 예방할 수 없습니다.
그런데 아이러니한 것은 같은 날(26일) 긱박이 Certik의 창업자이자 컬럼비아대학교 컴퓨터과학과 교수인 Gu Ronghui와의 단독 인터뷰를 공개했다는 점이다. 개발된 블록체인 보안은 트랙이 되어 많은 주목을 받으며 보안 시장 점유율의 70%를 차지하고 Web3 보안 감사 비용을 90% 이상 절감합니다.”
