作者:北辰

?

今天有一個(gè)非常勁爆的新聞，昨晚11點(diǎn)才開(kāi)啟公售的Merlin（一個(gè)zkSync生態(tài)的DEX），到今天上午就發(fā)生了Rug Pull，卷走了價(jià)值約182萬(wàn)美金的LP資產(chǎn)。

?

勁爆的點(diǎn)不在于182萬(wàn)美金，而在于Merlin部署的代碼剛剛通過(guò)了Certik的審計(jì)。

?

起初LP資產(chǎn)從zkSync被提取到了以太坊，外界還以為是遭到了黑客攻擊，但當(dāng)受害者檢查了代碼后，才發(fā)現(xiàn)原來(lái)合約本身就有問(wèn)題。

?

這里直接援引Twitter博主@ConnorRepeat的分析結(jié)論——合約本來(lái)就允許feeTo地址（由開(kāi)發(fā)者團(tuán)隊(duì)管理的手續(xù)費(fèi)地址）最大限度地提取LP代幣（token0、token1）。

?

?

不過(guò)Merlin團(tuán)隊(duì)堅(jiān)決否認(rèn)他們是Rug Pull，稱(chēng)正在分析此次漏洞事件。Certik也稱(chēng)他們的初步調(diào)查結(jié)果指向了私鑰管理，而代碼審計(jì)不能防止私鑰問(wèn)題。

?

總之，他們都對(duì)「代碼中有暗門(mén)」這件事是視而不見(jiàn)、避而不談、顧左右而言他……

?

對(duì)于Merlin來(lái)說(shuō)，無(wú)論是因?yàn)樗借€被泄還是主動(dòng)Rug Pull，其實(shí)二者沒(méi)有任何區(qū)別。因?yàn)檫@就像一家中心化交易所在用戶條款中聲明「平臺(tái)有權(quán)提取用戶所有資金」并且用戶的資金確實(shí)被提取了，那么負(fù)責(zé)人進(jìn)監(jiān)獄一點(diǎn)也不冤。

?

不過(guò)我們還是把關(guān)注點(diǎn)放在Certik以及Web安全賽道。

?

作為占據(jù)70%市場(chǎng)份額的Web3安全公司，Certik最大的優(yōu)勢(shì)是便宜。我們可以從極客公園正好是今天發(fā)布的《對(duì)話Web3安全超級(jí)獨(dú)角獸CertiK：「譽(yù)滿天下，謗滿天下」》來(lái)一窺究竟。

?

“我們報(bào)價(jià)可以到壓到幾萬(wàn)甚至幾千美金（對(duì)于簡(jiǎn)單合約）一次，把Web3安全審計(jì)的費(fèi)用降低了90%以上，并且還在繼續(xù)降低?！?/p>

?

而廉價(jià)是建立在規(guī)?；?wù)的基礎(chǔ)上。簡(jiǎn)單來(lái)說(shuō)就是Certik創(chuàng)造了一套安全引擎，用機(jī)審來(lái)提高效率?！拔覀冎皇遣蛔尠踩珜?zhuān)家簡(jiǎn)簡(jiǎn)單單地直接讀源代碼?！?/p>

?

問(wèn)題是，這套安全引擎是需要安全工程師標(biāo)注來(lái)訓(xùn)練的，它無(wú)法檢測(cè)出未被標(biāo)注過(guò)的類(lèi)型的風(fēng)險(xiǎn)，這在迭代速度非?？斓腤eb3行業(yè)里非常冒險(xiǎn)。

?

Certik沒(méi)發(fā)現(xiàn)這次Merlin的Rug?Pull事件當(dāng)然是偶然事件，但至少說(shuō)明Certik的安全工程師在標(biāo)注漏洞時(shí)，沒(méi)想到會(huì)有開(kāi)發(fā)者頭鐵到直接在代碼中設(shè)置feeTo地址最大限度地提取LP代幣……

?

不過(guò)Certik的這種審計(jì)模式導(dǎo)致安全率降低以及暴雷事件增多（畢竟訂單7也多）是必然的事情，就像一座城市的霧霾一定會(huì)增加肺病的概率，只是具體落在哪些人身上是隨機(jī)的。

?

Web3安全公司Numen創(chuàng)始人Chris向鏈茶館表示，“無(wú)論是Web3還是互聯(lián)網(wǎng)，安全從來(lái)就不是一個(gè)點(diǎn)，而是一個(gè)面，即使合約、公鏈、錢(qián)包經(jīng)過(guò)審計(jì)，但網(wǎng)站、辦公網(wǎng)、服務(wù)器、PC甚至物理安全等任何一個(gè)出現(xiàn)問(wèn)題，都有可能被黑客控制系統(tǒng)，從而竊取資產(chǎn)，所以最終的主戰(zhàn)場(chǎng)一定是實(shí)時(shí)的安全威脅檢測(cè)和防御?！?/p>

?

慢霧創(chuàng)始人余弦在Twitter上表示，“做區(qū)塊鏈安全這行當(dāng)，賺錢(qián)能力很重要，有敬畏之心更重要。如履薄冰、如臨深淵…這八個(gè)字非常適合這個(gè)行當(dāng)，撕開(kāi)「繁華」的面紗，你看到的一定是黑暗森林”。

?

最后我發(fā)表一下作為外行的總結(jié)（可噴）：

?

尚處早期的Web3行業(yè)，依舊需要作坊式的安全審計(jì)公司，像偵探那樣去定制化地發(fā)現(xiàn)代碼中隱藏的漏洞，而不是用現(xiàn)成的模板去按圖索驥（這個(gè)更適合已經(jīng)完全成熟了的領(lǐng)域）。

?

這場(chǎng)貓鼠游戲才剛剛開(kāi)始！

熱點(diǎn)：項(xiàng)目