Imagem da matéria: Nova corretora é hackeada logo após receber auditoria de segurança; empresa culpa desenvolvedores
(Foto: Shutterstock)

A recém-lançada exchange descentralizada (DEX) Merlin foi drenada em cerca de US$ 1,82 milhão de seu pool de liquidez na quarta-feira (26), com a empresa de auditoria de blockchains CertiK — que concluiu uma auditoria da DEX pouco antes de seu lançamento — culpando “desenvolvedores desonestos” do projeto pelo hack.

Em um post no Twitter, a auditora disse que, “as investigações iniciais indicam que os desenvolvedores desonestos estão baseados na Europa, e estamos trabalhando com a aplicação da lei para rastreá-los”, e os encorajou a aceitar uma recompensa white hat de 20%. A própria Merlin acusou “vários membros da equipa de Back-End” em uma publicação no Twitter de terem drenados os contratos inteligente.

Publicidade

Em uma declaração enviada ao Decrypt, a CertiK disse que estava trabalhando com “a equipe Merlin restante” e a equipe por trás da rede zkSync em um plano de compensação para os usuários afetados. A Merlin ainda não respondeu ao contato do Decrypt.

Construída em zkSync, uma solução Ethereum de escalonamento de segunda camada, a Merlin foi lançada apenas alguns dias atrás com a venda pública de seu token MAGE.

Imediatamente antes do seu lançamento, a Merlin também recebeu uma auditoria de código de contratos inteligentes da empresa de segurança CertiK — um passo que muitas empresas cripto consideram essencial para garantir a segurança dos criptoativos dos usuários e manter a confiança dos clientes.

De acordo com a CertiK, que disse estar “investigando ativamente” o incidente da Merlin, “as descobertas iniciais apontam para um potencial problema de gerenciamento de chaves privadas, em vez de uma exploração como causa raiz.”

Publicidade

“Embora as auditorias não possam prevenir questões com chaves privadas, sempre destacamos as melhores práticas para os projetos. Se qualquer crime for descoberto, trabalharemos com as autoridades competentes e compartilharemos informações relevantes”, disse a CertiK em um comunicado em uma thread no Twitter, acrescentando que destacou o risco de centralização da Merlin no seu relatório de auditoria.

A Merlin respondeu ao incidente logo depois em um “anúncio do desenvolvedor”, pedindo aos usuários que “revogem o acesso ao site conectado em suas carteiras” como precaução.

A DEX disse que está analisando o que aconteceu e que “mais atualizações serão fornecidas.”

Problemas de Centralização

Especialistas em segurança de blockchain apontaram para “grandes problemas de centralização” nos contratos inteligentes da Merlin Dex.

“Embora ainda estejamos no início de toda essa história, há indícios de que houve grandes problemas de centralização nos contratos inteligentes Merlin Dex”, disse Gonçalo Magalhães, engenheiro de contratos inteligentes da plataforma de recompensas de bugs, Immunefi, ao Decrypt.

“Especificamente, o endereço que recebe taxas de pool foi autorizado a drenar todos os fundos de cada pool no protocolo.”

Publicidade

Em um tweet, outra Dex baseada em zkSync, a eZKalibur, afirmou ter identificado “o código malicioso responsável pela drenagem de fundos” nos contratos inteligentes da Merlin.

De acordo com Magalhães, o engenheiro da Immunefi, enquanto a CertiK destacou algumas preocupações de centralização em sua auditoria, “não há menção a esse ponto específico, em que o endereço do destinatário da taxa tem total aprovação para retirar todos os tokens dos pools — o que é, na verdade, um ponto crucial de falha.”

“Se este fosse realmente o caso de um comprometimento de chaves privadas, então certamente não seria o primeiro”, disse Magalhães, chamando a gestão adequada de chaves de endereços privilegiados em um protocolo de uma “questão crítica.”

Ele acrescentou que mitigações como carteiras multisig são benéficas, mas que “ter a aprovação total da transferência de fundos em uma única conta torna essa chave privada um alvo interessante para os hackers blackhat.”

Andy Zhou, CEO da plataforma de auditoria BlockSec, deu um passo adiante, argumentando que, embora as auditorias de contratos inteligentes sejam úteis para localizar vulnerabilidades e proteger os ativos dos usuários no protocolo, “um aspecto que geralmente é ignorado é o que acontece se o protocolo em si for malicioso”, como ter a intenção de aplicar um “rugpull” nos usuários.

Publicidade

No Twitter, Zhou comparou a Merlin a um banco que autoriza previamente que o seu proprietário possa retirar arbitrariamente todo o dinheiro do cliente.

“Se você sabe disso, ainda depositará seus tokens no banco?” perguntou o CEO da BlockSec.

Magalhães concordou que a aprovação ilimitada do destinatário da taxa era “algo que não era absolutamente necessário para a lógica do protocolo”, dizendo ao Decrypt que “esperávamos que uma auditoria sinalizasse isso como, no mínimo, preocupante.”

“Esta é outra razão pela qual ter mais de uma parte externa auditando seu código é importante. O que faltou a uma empresa pode ser sinalizado por outra”, disse Magalhães.

Na sua declaração para o Decrypt, a CertiK observou que “embora as auditorias possam identificar riscos e vulnerabilidades potenciais, elas não podem impedir atividades maliciosas por parte de desenvolvedores desonestos, como rug pulls”, e encorajou os usuários a procurar projetos que tenham realizado um processo voluntário de verificação KYC.

A empresa de auditoria também enfatizou que “os privilégios de chave privada estão fora do escopo de uma auditoria de contrato inteligente”, mas que permaneceu comprometido em ajudar os usuários afetados e caçar os responsáveis pelo que descreveu como um “golpe de saída”.”

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
bitcoin

Bitcoin volta a subir e bate novo recorde de US$ 94 mil

O preço do Bitcoin já registra um aumento de US$ 20.000 desde o dia da eleição nos EUA
Imagem da matéria: ETF de Bitcoin da BlackRock agora é maior que seu ETF de ouro

ETF de Bitcoin da BlackRock agora é maior que seu ETF de ouro

Após uma semana de sucesso impulsionada pela reeleição de Donald Trump, o ETF de Bitcoin da BlackRock quebrou recorde atrás de recorde
Imagem da matéria: Vitória dos republicanos na Câmara traz esperança de mudança pró-cripto nos EUA

Vitória dos republicanos na Câmara traz esperança de mudança pró-cripto nos EUA

A vitória do Partido Republicano está gerando otimismo, com participantes do meio cripto esperando um ambiente regulatório mais favorável
Fachada da sede do Banco Central do Brasil

Criptorama reúne BC, CVM e autoridades para discutir economia digital em São Paulo

Com presença de grandes nomes dos setores público e privado, o evento promovido pela ABcripto têm entrada gratuita para o público em geral