Merlin DEX Insider-Rug

Am 26. April 2023 wurde der zkSync-Era-DEX Merlin innerhalb von Stunden nach seinem öffentlichen Verkaufsstart um etwa 1,82 Millionen $ ausgeplündert. Insider mit einer privilegierten Fee-Receiver/Owner-Rolle zogen die gesamte Liquidität ab. Die Verträge waren von CertiK auditiert worden — dessen Bericht ein Zentralisierungs-/Private-Key-Risiko markiert hatte, das Nutzer nicht abwogen.

Was geschah

Merlins Verträge behielten eine privilegierte Rolle, die auf gebündelte Liquidität zugreifen konnte. Das CertiK-Audit wies ausdrücklich auf das Zentralisierungsrisiko dieser Rolle hin; das Audit "bestand" in dem Sinne, dass der Code tat, was er behauptete — einschließlich des privilegierten Pfads, der Insidern erlaubte, ihn zu leeren. Stunden nach dem Launch wurde die Rolle genutzt, um die gesamte Liquidität abzuziehen (~1,82 Mio. $). CertiK erklärte öffentlich, dass es die Private-Key-/Zentralisierungs-Bedenken identifiziert habe und gemeinsam mit der Community teilweise Mittelrückgewinnung und Opferentschädigung verfolgte.

Folgen

• Teilweise Wiederherstellung und ein Kompensationsbemühen folgten (CertiK-koordiniert).
• Der Vorfall wurde zu einem Brennpunkt in der Debatte "Was zertifiziert ein Audit eigentlich?"

Warum es wichtig ist

Merlin DEX ist der kanonische Fall von "auditiert, aber das Audit hatte genau dies markiert und niemand las es". Er kristallisiert eine Unterscheidung, die der Katalog wiederholt macht (Arbix, Swaprum): Ein Audit beurteilt, ob der Code tut, was er zu tun scheint; es beurteilt nicht, ob das Team die vom Code gewährten Befugnisse missbrauchen wird — und wenn es diese Befugnisse als Risiko markiert, ist dieser Hinweis das Produkt, keine Fußnote. Nutzer behandelten "CertiK-auditiert" als "sicher"; das Audit hatte das eingetretene Risiko buchstäblich aufgeschrieben. Die defensive Lektion ist für Nutzer: Lest den Zentralisierungs-/Admin-Risiko-Abschnitt des Audits, denn dort werden Rugs vorab offengelegt.