Giải pháp mở rộng Ethereum L2 zkSync dựa trên công nghệ Zero-knowledge Proof(ZK Rollup), sau khi ra mắt Mainnet zkSync Era vào ngày 24 tháng 3, các thảm họa thường xuyên lan rộng. Giao thức DEX Merlin trong hệ sinh thái vừa hoàn thành kiểm tra vào đầu tuần này. chào bán công khai, nó đã bị hack tới 1,8 triệu đô la Mỹ , điều này đã làm dấy lên các cuộc thảo luận trong cộng đồng mã hóa.
Cộng đồng đặt nghi vấn Merlin bị hack làm Rug Pull
Khi vụ việc lan rộng, theo phân tích của người dùng cộng đồng @zkaliburDEX về hợp đồng của Merlin, anh ấy nói rằng vụ hack có thể là một hành vi nội bộ của dự án:
Có hai dòng mã trong hàm khởi tạo cho phép gán giá trị tối đa của uint256 cho địa chỉ feeTo (nhà triển khai). Trong trường hợp này, địa chỉ feeoTo có thể gọi hàm transferFrom mã thông báo tương ứng để chuyển mã thông báo từ địa chỉ hợp đồng đến địa chỉ riêng của nó. Do đó, đây có thể là một hành vi nội bộ của bên dự án.
Một người dùng cộng đồng khác @delucinator cũng nói rằng Merlin là 100% Rug Pull (dịch theo nghĩa đen: Rug Pull). Ngoài ra, anh ấy đã hỏi Certik, nhóm bảo mật chịu trách nhiệm kiểm toán Merlin:
Certik đã kiểm tra giao thức và không giống như giao diện người dùng được hoán đổi, Certik thấy rằng hợp đồng cho phép phân bổ không giới hạn cho một số địa chỉ ngẫu nhiên, nhưng vẫn thông qua nó.
Về vấn đề này, Thanh Nguyen, người sáng lập công ty bảo mật chuỗi khối Verichains, đồng ý với quan điểm của các thành viên cộng đồng nói trên và chỉ ra rằng "Merlin là một trường hợp rõ ràng về việc chèn cửa hậu có chủ đích."
Có một mã "cửa hậu" (L87-88) trong mã Merlin cho phép phíTo của MerlinFactory chuyển tất cả tài sản trong cặp giao dịch trong chức năng trao đổi ngoại trừ phí. Cửa hậu này là một rủi ro bảo mật rõ ràng vì không có tình huống sử dụng nào cần sự chấp thuận của nó.
CertiK phải thừa nhận rằng họ đã không nhận thấy mã của cửa hậu trong quá trình kiểm toán.
CertiK phủ nhận sai sót kiểm toán
Trước những nghi ngờ nêu trên, CertiK đã đưa ra phản hồi cho biết rằng họ hiện đang điều tra sự cố Merlin và những phát hiện sơ bộ chỉ ra một vấn đề tiềm ẩn về quản lý khóa cá nhân, chứ không phải lỗ hổng hợp đồng khiến giao thức bị tấn công và nói rằng việc kiểm toán không thể ngăn chặn các vấn đề về khóa riêng.
Tuy nhiên, điều trớ trêu là vào cùng ngày (26), Geek Park đã đăng một cuộc phỏng vấn độc quyền với Gu Ronghui, người sáng lập Certik và là giáo sư khoa học máy tính tại Đại học Columbia. thu hút sự chú ý, chiếm tới 70% thị trường bảo mật và giảm hơn 90% chi phí kiểm toán bảo mật Web3.”
