Certik没有发现Rug Pull​项目的代码中有暗门 Web3审计「作坊式」优于「规模化」

作者:北辰

今天有一个非常劲爆的新闻，昨晚11点才开启公售的Merlin（一个zkSync生态的DEX），到今天上午就发生了Rug Pull，卷走了价值约182万美金的LP资产。

劲爆的点不在于182万美金，而在于Merlin部署的代码刚刚通过了Certik的审计。

起初LP资产从zkSync被提取到了以太坊，外界还以为是遭到了黑客攻击，但当受害者检查了代码后，才发现原来合约本身就有问题。

这里直接援引Twitter博主@ConnorRepeat的分析结论——合约本来就允许feeTo地址（由开发者团队管理的手续费地址）最大限度地提取LP代币（token0、token1）。

不过Merlin团队坚决否认他们是Rug Pull，称正在分析此次漏洞事件。Certik也称他们的初步调查结果指向了私钥管理，而代码审计不能防止私钥问题。

总之，他们都对「代码中有暗门」这件事是视而不见、避而不谈、顾左右而言他……

对于Merlin来说，无论是因为私钥被泄还是主动Rug Pull，其实二者没有任何区别。因为这就像一家中心化交易所在用户条款中声明「平台有权提取用户所有资金」并且用户的资金确实被提取了，那么负责人进监狱一点也不冤。

不过我们还是把关注点放在Certik以及Web安全赛道。

作为占据70%市场份额的Web3安全公司，Certik最大的优势是便宜。

“我们报价可以到压到几万甚至几千美金（对于简单合约）一次，把Web3安全审计的费用降低了90%以上，并且还在继续降低。“

而廉价是建立在规模化服务的基础上。简单来说就是Certik创造了一套安全引擎，用机审来提高效率。“我们只是不让安全专家简简单单地直接读源代码。”

问题是，这套安全引擎是需要安全工程师标注来训练的，它无法检测出未被标注过的类型的风险，这在迭代速度非常快的Web3行业里非常冒险。

Certik没发现这次Merlin的Rug Pull事件当然是偶然事件，但至少说明Certik的安全工程师在标注漏洞时，没想到会有开发者头铁到直接在代码中设置feeTo地址最大限度地提取LP代币……

不过Certik的这种审计模式导致安全率降低以及暴雷事件增多（毕竟订单7也多）是必然的事情，就像一座城市的雾霾一定会增加肺病的概率，只是具体落在哪些人身上是随机的。

Web3安全公司Numen创始人Chris向链茶馆表示，“无论是Web3还是互联网，安全从来就不是一个点，而是一个面，即使合约、公链、钱包经过审计，但网站、办公网、服务器、PC甚至物理安全等任何一个出现问题，都有可能被黑客控制系统，从而窃取资产，所以最终的主战场一定是实时的安全威胁检测和防御。”

慢雾创始人余弦在Twitter上表示，“做区块链安全这行当，赚钱能力很重要，有敬畏之心更重要。如履薄冰、如临深渊…这八个字非常适合这个行当，撕开「繁华」的面纱，你看到的一定是黑暗森林”。

最后我发表一下作为外行的总结（可喷）：

尚处早期的Web3行业，依旧需要作坊式的安全审计公司，像侦探那样去定制化地发现代码中隐藏的漏洞，而不是用现成的模板去按图索骥（这个更适合已经完全成熟了的领域）。

这场猫鼠游戏才刚刚开始！