社群-Merlin被(bei)黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错 ,对于想学习炒股的朋友们来说,社群-Merlin被(bei)黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错是一个非常想了解的问题,下面小编就带领大家看看这个问题。
原文标题:Merlin被(bei)黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错
股票知识学习网(www.vitai-group.cn)讯:基于零知识(shi)证明技术(ZK rollup)的以太坊L2扩容方(fang)案zkSync
社群质疑(yi)Merlin被黑是Rug Pull
随着案件延烧,根据(ju)社群用户@zkaliburDEX针对Merlin的合(he)约进行分析,他表示此次(ci)被黑很可能是项目的(de)内部行为:initialize函数中的有两行(xing)代码批准将uint256最大值分配给feeTo地址(部署者),在这种情况下,feeoTo地址有可能调用相应的(de)tokentransferFrom函数,将token从合约地(di)址转移到自己的地址。因此这(zhe)很可能是项目方(fang)的内部行为。
另一名社群用户(hu)@delucinator也表示(shi)Merlin百分(fen)之百是Rug Pull(意译:跑路)。此外,他还对负责审计Merlin的安全团队Certik提出质疑:Certik对该协议进行了审计,且不像(xiang)是被交换掉的前端,Certik看到(dao)了该合约中允许无限制地分配(pei)给某个随机地址,但仍然通过了(le)它。
对此,区块链安全公司Verichains创办人Thanh Nguyen认同上述社群成员(yuan)的看法,他指出「Merlin是一个明显的故意后门(men)插入案例」。
“在Merlin代码中存在一个“后门(men)”代码(L87-88),允许MerlinFactory的feeTo在交换函数中除了手续费外,转(zhuan)移交易对中的所有资产。这个后门是一个(ge)明显的安全风险,因(yin)为没有使用场景需要它的批(pi)准。CertiK必
CertiK否认审计失(shi)误
针对上述的质(zhi)疑,CertiK发文回应称,目前正在调查Merlin事件,初步调查结果指向一个潜在的(de)私钥管理问题,而不是因为合约漏洞(dong)才导致协议被黑,并表示审计(ji)不能防止私钥问题。
然(ran)而,令人讽刺的是,同一日(26日(ri))极客公园才刊文Certik创办人、哥伦比亚(ya)大学计算机系教(jiao)授顾荣辉的专访,他在访谈中骄(jiao)傲地表示:「CertiK几乎是靠一己之力把区块链安全(quan)变成一个赛道,吸引了(le)很多关注,吃下安全市场70%的(de)份额,把Web3安全审计的费用降(jiang)低了90%以上。」
原文出处:http://www.vitai-group.cn/gpzs/1682516005752.html
以上是关于社群-Merlin被(bei)黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错的介绍,希望对想了解炒股知识的朋友们有所帮助。
本文标题:社群-Merlin被(bei)黑是Rug Pull?分析师指官方藏后门 Certik否认审计出错;本文链接:http://ywyongle.com/gupiaozhishi/9284.html。