Imagem da matéria: Nova corretora é hackeada logo após receber auditoria de segurança; empresa culpa desenvolvedores
(Foto: Shutterstock)

A recém-lançada exchange descentralizada (DEX) Merlin foi drenada em cerca de US$ 1,82 milhão de seu pool de liquidez na quarta-feira (26), com a empresa de auditoria de blockchains CertiK — que concluiu uma auditoria da DEX pouco antes de seu lançamento — culpando “desenvolvedores desonestos” do projeto pelo hack.

Em um post no Twitter, a auditora disse que, “as investigações iniciais indicam que os desenvolvedores desonestos estão baseados na Europa, e estamos trabalhando com a aplicação da lei para rastreá-los”, e os encorajou a aceitar uma recompensa white hat de 20%. A própria Merlin acusou “vários membros da equipa de Back-End” em uma publicação no Twitter de terem drenados os contratos inteligente.

Publicidade

Em uma declaração enviada ao Decrypt, a CertiK disse que estava trabalhando com “a equipe Merlin restante” e a equipe por trás da rede zkSync em um plano de compensação para os usuários afetados. A Merlin ainda não respondeu ao contato do Decrypt.

Construída em zkSync, uma solução Ethereum de escalonamento de segunda camada, a Merlin foi lançada apenas alguns dias atrás com a venda pública de seu token MAGE.

Imediatamente antes do seu lançamento, a Merlin também recebeu uma auditoria de código de contratos inteligentes da empresa de segurança CertiK — um passo que muitas empresas cripto consideram essencial para garantir a segurança dos criptoativos dos usuários e manter a confiança dos clientes.

De acordo com a CertiK, que disse estar “investigando ativamente” o incidente da Merlin, “as descobertas iniciais apontam para um potencial problema de gerenciamento de chaves privadas, em vez de uma exploração como causa raiz.”

Publicidade

“Embora as auditorias não possam prevenir questões com chaves privadas, sempre destacamos as melhores práticas para os projetos. Se qualquer crime for descoberto, trabalharemos com as autoridades competentes e compartilharemos informações relevantes”, disse a CertiK em um comunicado em uma thread no Twitter, acrescentando que destacou o risco de centralização da Merlin no seu relatório de auditoria.

A Merlin respondeu ao incidente logo depois em um “anúncio do desenvolvedor”, pedindo aos usuários que “revogem o acesso ao site conectado em suas carteiras” como precaução.

A DEX disse que está analisando o que aconteceu e que “mais atualizações serão fornecidas.”

Problemas de Centralização

Especialistas em segurança de blockchain apontaram para “grandes problemas de centralização” nos contratos inteligentes da Merlin Dex.

“Embora ainda estejamos no início de toda essa história, há indícios de que houve grandes problemas de centralização nos contratos inteligentes Merlin Dex”, disse Gonçalo Magalhães, engenheiro de contratos inteligentes da plataforma de recompensas de bugs, Immunefi, ao Decrypt.

“Especificamente, o endereço que recebe taxas de pool foi autorizado a drenar todos os fundos de cada pool no protocolo.”

Publicidade

Em um tweet, outra Dex baseada em zkSync, a eZKalibur, afirmou ter identificado “o código malicioso responsável pela drenagem de fundos” nos contratos inteligentes da Merlin.

De acordo com Magalhães, o engenheiro da Immunefi, enquanto a CertiK destacou algumas preocupações de centralização em sua auditoria, “não há menção a esse ponto específico, em que o endereço do destinatário da taxa tem total aprovação para retirar todos os tokens dos pools — o que é, na verdade, um ponto crucial de falha.”

“Se este fosse realmente o caso de um comprometimento de chaves privadas, então certamente não seria o primeiro”, disse Magalhães, chamando a gestão adequada de chaves de endereços privilegiados em um protocolo de uma “questão crítica.”

Ele acrescentou que mitigações como carteiras multisig são benéficas, mas que “ter a aprovação total da transferência de fundos em uma única conta torna essa chave privada um alvo interessante para os hackers blackhat.”

Andy Zhou, CEO da plataforma de auditoria BlockSec, deu um passo adiante, argumentando que, embora as auditorias de contratos inteligentes sejam úteis para localizar vulnerabilidades e proteger os ativos dos usuários no protocolo, “um aspecto que geralmente é ignorado é o que acontece se o protocolo em si for malicioso”, como ter a intenção de aplicar um “rugpull” nos usuários.

Publicidade

No Twitter, Zhou comparou a Merlin a um banco que autoriza previamente que o seu proprietário possa retirar arbitrariamente todo o dinheiro do cliente.

“Se você sabe disso, ainda depositará seus tokens no banco?” perguntou o CEO da BlockSec.

Magalhães concordou que a aprovação ilimitada do destinatário da taxa era “algo que não era absolutamente necessário para a lógica do protocolo”, dizendo ao Decrypt que “esperávamos que uma auditoria sinalizasse isso como, no mínimo, preocupante.”

“Esta é outra razão pela qual ter mais de uma parte externa auditando seu código é importante. O que faltou a uma empresa pode ser sinalizado por outra”, disse Magalhães.

Na sua declaração para o Decrypt, a CertiK observou que “embora as auditorias possam identificar riscos e vulnerabilidades potenciais, elas não podem impedir atividades maliciosas por parte de desenvolvedores desonestos, como rug pulls”, e encorajou os usuários a procurar projetos que tenham realizado um processo voluntário de verificação KYC.

A empresa de auditoria também enfatizou que “os privilégios de chave privada estão fora do escopo de uma auditoria de contrato inteligente”, mas que permaneceu comprometido em ajudar os usuários afetados e caçar os responsáveis pelo que descreveu como um “golpe de saída”.”

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
Imagem da matéria: Minerador sortudo de Bitcoin resolve bloco sozinho e fatura R$ 1 milhão

Minerador sortudo de Bitcoin resolve bloco sozinho e fatura R$ 1 milhão

Minerador solo completou o bloco 843.231 do Bitcoin usando software da CKpool
tornado cash 1

Desenvolvedor do Tornado Cash é condenado a 5 anos de prisão por lavagem de dinheiro

“O Tornado Cash, em sua natureza e funcionamento, é uma ferramenta destinada a criminosos”, disse um dos juízes ao condenar Alexey Pertsev
Ilustração de bandeira do Brasil dentro moeda de Bitcoin

Novo estudo do LAPIN apresenta melhores práticas para regulação de criptomoedas no Brasil

White paper feito pelo LAPIN com apoio da Ripple traz diversos pontos e dados para ajudar na regulação do setor de criptomoedas brasileiro
hackers em frente a computadores

Exchange de criptomoedas Rain perde US$ 14,8 milhões em ataque hacker

A exchange disse que já tomou as medidas necessárias e que todas as sua atividades estão funcionando normalmente, inclusive saques