Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 135Rug pull

Rug interne de Merlin DEX

Merlin DEX sur zkSync a perdu 1,82 M$ après son lancement quand un rôle propriétaire backdoor a permis aux initiés de retirer la liquidité.

Date
Victime
Merlin DEX users
Chaîne(s)
zkSync Era
Statut
Partiellement récupéré

Le 26 avril 2023, le DEX zkSync Era Merlin a été drainé d'environ 1,82 million de dollars quelques heures après son lancement en vente publique. Des initiés disposant d'un rôle privilégié de récepteur de frais/propriétaire ont retiré toute la liquidité. Les contrats avaient été audités par CertiK — dont le rapport avait signalé un risque de centralisation/clé privée que les utilisateurs n'ont pas pris en compte.

Ce qui s'est passé

Les contrats de Merlin conservaient un rôle privilégié capable d'accéder à la liquidité mise en pool. L'audit CertiK notait explicitement le risque de centralisation de ce rôle ; l'audit a « réussi » au sens où le code faisait ce qu'il prétendait — y compris le chemin privilégié qui permettait aux initiés de le vider. Quelques heures après le lancement, le rôle a été utilisé pour retirer toute la liquidité (~1,82 M$). CertiK a publiquement déclaré avoir identifié la préoccupation de clé privée/centralisation et avoir poursuivi la récupération partielle des fonds et la compensation des victimes aux côtés de la communauté.

Conséquences

  • Une récupération partielle et un effort de compensation ont suivi (coordonnés par CertiK).
  • L'incident est devenu un point chaud du débat sur « que certifie réellement un audit ? »

Pourquoi c'est important

Merlin DEX est le cas canonique du « audité mais l'audit signalait exactement ça et personne ne l'a lu ». Il cristallise une distinction que le catalogue fait à plusieurs reprises (Arbix, Swaprum) : un audit évalue si le code fait ce qu'il semble faire ; il n'évalue pas si l'équipe abusera des pouvoirs que le code accorde — et quand il signale ces pouvoirs comme un risque, ce signalement est le produit, pas une note de bas de page. Les utilisateurs ont traité « audité par CertiK » comme « sûr » ; l'audit avait littéralement écrit le risque qui s'est matérialisé. La leçon défensive est pour les utilisateurs : lisez la section centralisation/risque admin de l'audit, car c'est là que les rugs sont pré-divulgués.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-merlin-dex-rug-pull-april-2023
  2. [02]coindesk.comhttps://www.coindesk.com/tech/2023/04/27/dex-merlin-and-certik-plan-to-compensate-2m-to-users-impacted-in-rugpull
  3. [03]rekt.newshttps://rekt.news/merlin-dex-rekt

Dépôts liés