Certik 沒有發現 Rug Pull 專案的代碼中有暗門,Web3 審計「作坊式」優於「規模化」
作者:北辰
封面: Photo by Towfiqu barbhuiya on Unsplash
今天有一個非常勁爆的新聞,昨晚 11 點才開啟公售的 Merlin(一個 zkSync 生態的 DEX),到今天上午就發生了 Rug Pull,捲走了價值約 182 萬美金的 LP 資產。
勁爆的點不在於 182 萬美金,而在於 Merlin 部署的代碼剛剛通過了 Certik 的審計。
起初 LP 資產從 zkSync 被提取到了乙太坊,外界還以為是遭到了駭客攻擊,但當受害者檢查了代碼後,才發現原來合約本身就有問題。
這裡直接援引 Twitter 博主 @ConnorRepeat 的分析結論——合約本來就允許 feeTo 位址(由開發者團隊管理的手續費位址)最大限度地提取 LP 代幣(token0、token1)。
不過 Merlin 團隊堅決否認他們是 Rug Pull,稱正在分析此次漏洞事件。 Certik 也稱他們的初步調查結果指向了私鑰管理,而代碼審計不能防止私鑰問題。
總之,他們都對「代碼中有暗門」這件事是視而不見、避而不談、顧左右而言他......
對於 Merlin 來說,無論是因為私鑰被洩還是主動 Rug Pull,其實二者沒有任何區別。 因為這就像一家中心化交易所在用戶條款中聲明「平臺有權提取使用者所有資金」並且使用者的資金確實被提取了,那麼負責人進監獄一點也不冤。
不過我們還是把關注點放在 Certik 以及 Web 安全賽道。
作為佔據 70% 市場份額的 Web3 安全公司,Certik 最大的優勢是便宜。 我們可以從極客公園正好是今天發佈的 《對話 Web3 安全超級獨角獸 CertiK:「譽滿天下,謗滿天下」》來一窺究竟。
“我們報價可以到壓到幾萬甚至幾千美金(對於簡單合約)一次,把 Web3 安全審計的費用降低了 90% 以上,並且還在繼續降低。”
而廉價是建立在規模化服務的基礎上。 簡單來說就是 Certik 創造了一套安全引擎,用機審來提高效率。 “我們只是不讓安全專家簡簡單單地直接讀原始程式碼。”
問題是,這套安全引擎是需要安全工程師標註來訓練的,它無法檢測出未被標註過的類型的風險,這在反覆運算速度非常快的 Web3 行業里非常冒險。
Certik 沒發現這次 Merlin 的 Rug Pull 事件當然是偶然事件,但至少說明 Certik 的安全工程師在標註漏洞時,沒想到會有開發者頭鐵到直接在代碼中設置 feeTo 位址最大限度地提取 LP 代幣......
不過 Certik 的這種審計模式導致安全率降低以及暴雷事件增多(畢竟訂單 7 也多)是必然的事情,就像一座城市的霧霾一定會增加肺病的概率,只是具體落在哪些人身上是隨機的。
Web3 安全公司 Numen 创始人 Chris 向链茶馆表示,“无论是 Web3 还是互联网,安全从来就不是一个点,而是一个面,即使合约、公链、钱包经过审计,但网站、办公网、服务器、PC 甚至物理安全等任何一个出现问题,都有可能被黑客控制系统,从而窃取资产,所以最终的主战场一定是实时的安全威胁检测和防御。”
慢霧創始人余弦在 Twitter 上表示,「做區塊鏈安全這行當,賺錢能力很重要,有敬畏之心更重要。 如履薄冰、如臨深淵... 這八個字非常適合這個行當,撕開「繁華」的面紗,你看到的一定是黑暗森林 “。
最後我發表一下作為外行的總結(可噴):
尚處早期的 Web3 行業,依舊需要作坊式的安全審計公司,像偵探那樣去定製化地發現代碼中隱藏的漏洞,而不是用現成的範本去按圖索驥(這個更適合已經完全成熟了的領域)。
這場貓鼠遊戲才剛剛開始!
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 本文內容僅用於資訊分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
