A recém-lançada exchange descentralizada (DEX) Merlin foi drenada em cerca de US$ 1,82 milhão de seu pool de liquidez na quarta-feira (26), com a empresa de auditoria de blockchains CertiK — que concluiu uma auditoria da DEX pouco antes de seu lançamento — culpando “desenvolvedores desonestos” do projeto pelo hack.
Em um post no Twitter, a auditora disse que, “as investigações iniciais indicam que os desenvolvedores desonestos estão baseados na Europa, e estamos trabalhando com a aplicação da lei para rastreá-los”, e os encorajou a aceitar uma recompensa white hat de 20%. A própria Merlin acusou “vários membros da equipa de Back-End” em uma publicação no Twitter de terem drenados os contratos inteligente.
Em uma declaração enviada ao Decrypt, a CertiK disse que estava trabalhando com “a equipe Merlin restante” e a equipe por trás da rede zkSync em um plano de compensação para os usuários afetados. A Merlin ainda não respondeu ao contato do Decrypt.
Construída em zkSync, uma solução Ethereum de escalonamento de segunda camada, a Merlin foi lançada apenas alguns dias atrás com a venda pública de seu token MAGE.
Imediatamente antes do seu lançamento, a Merlin também recebeu uma auditoria de código de contratos inteligentes da empresa de segurança CertiK — um passo que muitas empresas cripto consideram essencial para garantir a segurança dos criptoativos dos usuários e manter a confiança dos clientes.
De acordo com a CertiK, que disse estar “investigando ativamente” o incidente da Merlin, “as descobertas iniciais apontam para um potencial problema de gerenciamento de chaves privadas, em vez de uma exploração como causa raiz.”
1/ CertiK is exploring a community compensation plan to cover the ~$2M of user funds lost in the Merlin DEX rug pull. Initial investigations indicate that the rogue developers are based in Europe, and we are working with law enforcement to track them down.
— CertiK (@CertiK) April 26, 2023
⬇️⬇️⬇️
“Embora as auditorias não possam prevenir questões com chaves privadas, sempre destacamos as melhores práticas para os projetos. Se qualquer crime for descoberto, trabalharemos com as autoridades competentes e compartilharemos informações relevantes”, disse a CertiK em um comunicado em uma thread no Twitter, acrescentando que destacou o risco de centralização da Merlin no seu relatório de auditoria.
A Merlin respondeu ao incidente logo depois em um “anúncio do desenvolvedor”, pedindo aos usuários que “revogem o acesso ao site conectado em suas carteiras” como precaução.
A DEX disse que está analisando o que aconteceu e que “mais atualizações serão fornecidas.”
Developer announcement 📢
— Merlin (@TheMerlinDEX) April 26, 2023
Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T
We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.
More updates will be provided
Problemas de Centralização
Especialistas em segurança de blockchain apontaram para “grandes problemas de centralização” nos contratos inteligentes da Merlin Dex.
“Embora ainda estejamos no início de toda essa história, há indícios de que houve grandes problemas de centralização nos contratos inteligentes Merlin Dex”, disse Gonçalo Magalhães, engenheiro de contratos inteligentes da plataforma de recompensas de bugs, Immunefi, ao Decrypt.
“Especificamente, o endereço que recebe taxas de pool foi autorizado a drenar todos os fundos de cada pool no protocolo.”
Em um tweet, outra Dex baseada em zkSync, a eZKalibur, afirmou ter identificado “o código malicioso responsável pela drenagem de fundos” nos contratos inteligentes da Merlin.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
De acordo com Magalhães, o engenheiro da Immunefi, enquanto a CertiK destacou algumas preocupações de centralização em sua auditoria, “não há menção a esse ponto específico, em que o endereço do destinatário da taxa tem total aprovação para retirar todos os tokens dos pools — o que é, na verdade, um ponto crucial de falha.”
“Se este fosse realmente o caso de um comprometimento de chaves privadas, então certamente não seria o primeiro”, disse Magalhães, chamando a gestão adequada de chaves de endereços privilegiados em um protocolo de uma “questão crítica.”
Ele acrescentou que mitigações como carteiras multisig são benéficas, mas que “ter a aprovação total da transferência de fundos em uma única conta torna essa chave privada um alvo interessante para os hackers blackhat.”
Andy Zhou, CEO da plataforma de auditoria BlockSec, deu um passo adiante, argumentando que, embora as auditorias de contratos inteligentes sejam úteis para localizar vulnerabilidades e proteger os ativos dos usuários no protocolo, “um aspecto que geralmente é ignorado é o que acontece se o protocolo em si for malicioso”, como ter a intenção de aplicar um “rugpull” nos usuários.
No Twitter, Zhou comparou a Merlin a um banco que autoriza previamente que o seu proprietário possa retirar arbitrariamente todo o dinheiro do cliente.
“Se você sabe disso, ainda depositará seus tokens no banco?” perguntou o CEO da BlockSec.
Give me your money. yes, Sir!
— Yajin (Andy) Zhou (@yajinzhou) April 26, 2023
It's like a bank pre-authorizes that the owner of the bank can arbitrarily withdraw all customers' money.
If you know this, will you still deposit your tokens into the bank?
That's how #Merlin DEX works. pic.twitter.com/7NdyhRpjky
Magalhães concordou que a aprovação ilimitada do destinatário da taxa era “algo que não era absolutamente necessário para a lógica do protocolo”, dizendo ao Decrypt que “esperávamos que uma auditoria sinalizasse isso como, no mínimo, preocupante.”
“Esta é outra razão pela qual ter mais de uma parte externa auditando seu código é importante. O que faltou a uma empresa pode ser sinalizado por outra”, disse Magalhães.
Na sua declaração para o Decrypt, a CertiK observou que “embora as auditorias possam identificar riscos e vulnerabilidades potenciais, elas não podem impedir atividades maliciosas por parte de desenvolvedores desonestos, como rug pulls”, e encorajou os usuários a procurar projetos que tenham realizado um processo voluntário de verificação KYC.
A empresa de auditoria também enfatizou que “os privilégios de chave privada estão fora do escopo de uma auditoria de contrato inteligente”, mas que permaneceu comprometido em ajudar os usuários afetados e caçar os responsáveis pelo que descreveu como um “golpe de saída”.”
*Traduzido por Gustavo Martins com autorização do Decrypt.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.