Rug or hack？

基於 Zksync 的去中心化交易平台 Merlin 於今日傳出剛審計、募資完就被駭客攻擊的消息。然而，卻有越來越多證據表明，Merlin 很可能不是被駭客攻擊，而是核心團隊早有預謀的 Rug pull。

根據區塊鏈數據顯示，在 Merlin 啟動為期三天的預售活動後不久，價值約 180 萬美元的 USDC、ETH 等加密貨幣就被從 Merlin 協議中偷走。 負責審計該協議程式碼的審計公司 CertiK 在推特上表示，其根本原因可能與私鑰管理不當有關，而非漏洞利用。

然而，社群中有多方來源認為，Merlin 智能合約中肯定存在被審計員遺漏的惡意代碼。同樣基於 zkSync 生態的去中心化交易平台 eZKalibur 在推特上發文表示：

「在此初始化函數中的這兩個行代碼本質上是授權 feeTo address 從合約地址轉移無限量 (type(uint256).max) 的 token0 和 token1。在這種情況下，feeTo address 可能會調用相應代幣的 transferFrom 函數，使合約地址向其自身轉移代幣。」

簡單來說，合約代碼中似乎包含一個功能，使合約所有者能夠從流動資金池中轉移所有資金。除了 eZKalibur 以外，其他社群人士再查看合約代碼後也都得出了類似的結論。即合約部署者惡意的留了後門。

疑似創辦人一手策劃

不過，與大多數 Rug pull 項目不同，Merlin 的官方社群帳號並沒有因為此次事件而消失，反而還發推文要求用戶撤銷他們的錢包權限作為預防措施。 

部分社群人士認為，此次的漏洞利用事件完全由項目創始人有預謀和精心策劃，而團隊的其他成員可能基本對此一無所知。

這件事件再次給了我們一些教訓。匿名土狗項目風險高、合約經過審計不代表安全（尤其是某些審計品質原本就參差不齊的審計公司）。

Certik 承認開發者利用漏洞 Rug Pull

時隔一天，審計公司 Certik 承認了惡意開發者確實利用漏洞實施了 Rug Pull。或許是為了挽回聲譽，該公司表示將與社群共同商討解決方案，彌補 Merlin DEX 事件造成的用戶資金損失，同時也將全力與執法部門合作，追緝這名 Rug pull 的開發者。

此外，CertiK 也敦促該開發者接受 20% 的白帽賞金。若攻擊者不接受，Certik 威脅將立即採取一切可能的行動來保護社群。