Certik没有发现Rug Pull项目的代码中有暗门,Web3审计「作坊式」优于「规模化」
摘要: 撕开「繁华」的面纱,你看到的一定是黑暗森林。
今天有一个非常劲爆的新闻,昨晚11点才开启公售的Merlin(一个zkSync生态的DEX),到今天上午就发生了Rug Pull,卷走了价值约182万美金的LP资产。
劲爆的点不在于182万美金,而在于Merlin部署的代码刚刚通过了Certik的审计。
起初LP资产从zkSync被提取到了以太坊,外界还以为是遭到了黑客攻击,但当受害者检查了代码后,才发现原来合约本身就有问题。
这里直接援引Twitter博主@ConnorRepeat的分析结论——合约本来就允许feeTo地址(由开发者团队管理的手续费地址)最大限度地提取LP代币(token0、token1)。
不过Merlin团队坚决否认他们是Rug Pull,称正在分析此次漏洞事件。Certik也称他们的初步调查结果指向了私钥管理,而代码审计不能防止私钥问题。
总之,他们都对「代码中有暗门」这件事是视而不见、避而不谈、顾左右而言他……
对于Merlin来说,无论是因为私钥被泄还是主动Rug Pull,其实二者没有任何区别。因为这就像一家中心化交易所在用户条款中声明「平台有权提取用户所有资金」并且用户的资金确实被提取了,那么负责人进监狱一点也不冤。
不过我们还是把关注点放在Certik以及Web安全赛道。
作为占据70%市场份额的Web3安全公司,Certik最大的优势是便宜。我们可以从极客公园正好是今天发布的《对话Web3安全超级独角兽CertiK:「誉满天下,谤满天下」》来一窥究竟。
“我们报价可以到压到几万甚至几千美金(对于简单合约)一次,把Web3安全审计的费用降低了90%以上,并且还在继续降低。“
而廉价是建立在规模化服务的基础上。简单来说就是Certik创造了一套安全引擎,用机审来提高效率。“我们只是不让安全专家简简单单地直接读源代码。”
问题是,这套安全引擎是需要安全工程师标注来训练的,它无法检测出未被标注过的类型的风险,这在迭代速度非常快的Web3行业里非常冒险。
Certik没发现这次Merlin的Rug Pull事件当然是偶然事件,但至少说明Certik的安全工程师在标注漏洞时,没想到会有开发者头铁到直接在代码中设置feeTo地址最大限度地提取LP代币……
不过Certik的这种审计模式导致安全率降低以及暴雷事件增多(毕竟订单7也多)是必然的事情,就像一座城市的雾霾一定会增加肺病的概率,只是具体落在哪些人身上是随机的。
Web3安全公司Numen创始人Chris向链茶馆表示,“无论是Web3还是互联网,安全从来就不是一个点,而是一个面,即使合约、公链、钱包经过审计,但网站、办公网、服务器、PC甚至物理安全等任何一个出现问题,都有可能被黑客控制系统,从而窃取资产,所以最终的主战场一定是实时的安全威胁检测和防御。”
慢雾创始人余弦在Twitter上表示,“做区块链安全这行当,赚钱能力很重要,有敬畏之心更重要。如履薄冰、如临深渊…这八个字非常适合这个行当,撕开「繁华」的面纱,你看到的一定是黑暗森林”。
最后我发表一下作为外行的总结(可喷):
尚处早期的Web3行业,依旧需要作坊式的安全审计公司,像侦探那样去定制化地发现代码中隐藏的漏洞,而不是用现成的模板去按图索骥(这个更适合已经完全成熟了的领域)。
这场猫鼠游戏才刚刚开始!
评论(0)
Oh! no
您是否确认要删除该条评论吗?