L’exchange décentralisé Merlin aurait été piratée juste après avoir passé un audit de son code. Deux versions des faits sont avancées pour expliquer ce nouveau piratage au sein d’un protocole de finance décentralisée. Alors qui dit vrai dans cette affaire ?
Une mauvaise gestion des clés privées en cause ?
Le DEX Merlin, hébergé sur le réseau zkSync, a été piraté pour 1,82 million de dollars. Ce hack est intervenu peu de temps après avoir passé avec succès un audit de code de la part de l’entreprise de sécurité Certik.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
Selon les premières informations issues de l’enquête de Certik, le problème viendrait des clés privées et de leur gestion. Cela écarte donc un problème avec le code du protocole en lui-même. Certik déclare sur Twitter :
Bien que les audits ne puissent pas empêcher les problèmes liés aux clés privées, nous mettons toujours l’accent sur les meilleures pratiques pour les projets. Si un acte répréhensible est découvert, nous travaillerons avec les autorités compétentes et partagerons les informations pertinentes. Restez à l’écoute pour des mises à jour.
Une version remise en cause par eZkalibur !
Dans le même temps, eZkalibur, un autre DEX hébergé sur zkSync affirme avoir identifié le code malveillant responsable du hack. Il est important de noter que eZkalibur comme Merlin sont des forks du protocole Camelot et partagent donc en partie le même code. Le protocole déclare :
Ces deux lignes de code dans la fonction d’initialisation donnent essentiellement l’autorisation à l’adresse feeTo de transférer une quantité illimitée (type(uint256).max) de token0 et token1 à partir de l’adresse du contrat. Dans ce cas, l’adresse feeTo pourrait potentiellement appeler la fonction transferFrom sur les tokens respectifs pour transférer des tokens de l’adresse du contrat vers elle-même.
Le DEX n’hésite donc pas à mettre en cause la qualité de l’audit de Certik. De son côté, l’auditeur rappelle qu’il a souligné le risque de centralisation de Merlin dans son audit. Toutefois, pour certains observateurs Certik aurait également dû mettre en évidence ce risque de rug pull.
Pour eZkalibur, une découverte comme celle la devrait obligatoirement être signalée. Les développeurs de Merlin ont depuis demandé aux utilisateurs de révoquer les autorisations des wallets connectés au protocole par mesure de sécurité. Ces derniers travaillent actuellement à analyser ce piratage en profondeur.
Difficile pour l’heure de savoir qui dit vrai dans cette histoire. Si l’audit de Certik venait à être remis en question, cela serait un véritable coup dur pour la crédibilité de l’entreprise de sécurité crypto. Nous surveillerons avec attention les prochaines annonces concernant ce piratage afin de savoir qui de eZKalibur ou de Certik a raison dans cette affaire !
Source : The Block
Sur le même sujet :
- Les États-Unis sanctionnent 3 nord-coréens en lien avec le groupe de hackers Lazarus
- Ordinals Finance vole 1 million de dollars avant de disparaître des radars
- Les régulateurs veulent étendre la législation européenne aux protocoles de DeFi
Share
Antoine Marin
Rédacteur
