merlin被黑是rug pull？分析师指官方藏后门 certik否认审计出错 -爱游戏全站app在线平台

ykqjz财经讯：基于零知识证明技术(zk rollup)的以太坊l2扩容方案zksync，在3月24日启动主网zksync era后，灾情频频传出，生态中的dex协议merlin本周稍早才刚完成审计、开启公募，就被黑180万美元，引起加密社群的议论。

社群质疑merlin被黑是rug pull

随着案件延烧，根据社群用户@zkaliburdex针对merlin的合约进行分析，他表示此次被黑很可能是项目的内部行为：initialize函数中的有两行代码批准将uint256最大值分配给feeto地址(部署者)，在这种情况下，feeoto地址有可能调用相应的tokentransferfrom函数，将token从合约地址转移到自己的地址。因此这很可能是项目方的内部行为。

另一名社群用户@delucinator也表示merlin百分之百是rug pull(意译：跑路)。此外，他还对负责审计merlin的安全团队certik提出质疑：certik对该协议进行了审计，且不像是被交换掉的前端，certik看到了该合约中允许无限制地分配给某个随机地址，但仍然通过了它。

对此，区块链安全公司verichains创办人thanh nguyen认同上述社群成员的看法，他指出「merlin是一个明显的故意后门插入案例」。

“在merlin代码中存在一个“后门”代码(l87-88)，允许merlinfactory的feeto在交换函数中除了手续费外，转移交易对中的所有资产。这个后门是一个明显的安全风险，因为没有使用场景需要它的批准。certik必须承认其审计期间未注意到后门的代码。”

certik否认审计失误

针对上述的质疑，certik发文回应称，目前正在调查merlin事件，初步调查结果指向一个潜在的私钥管理问题，而不是因为合约漏洞才导致协议被黑，并表示审计不能防止私钥问题。

然而，令人讽刺的是，同一日(26日)极客公园才刊文certik创办人、哥伦比亚大学计算机系教授顾荣辉的专访，他在访谈中骄傲地表示：「certik几乎是靠一己之力把区块链安全变成一个赛道，吸引了很多关注，吃下安全市场70%的份额，把web3安全审计的费用降低了90%以上。」