117 подписчиков
Как украсть 2 миллиона долларов за 48 часов
Аудит не гарантирует безопасность DeFi инструментов
Многие люди просто привыкли смотреть на наличие аудитов у протокола. Если есть - значит все нормально.
Разберу конкретный пример - Merlin DEX, который запускался еще в конце апреля 2023 года.
Разработчики проекта украли у своих пользователей около 2 миллионов долларов. И сделали этого все за 48 часов.
Но как же такое могло случиться, если у них был аудит от Certik?
Основная проблема кроется в том, что аудиты никто не читает. А читать их нужно обязательно.
Буквально в самом начале своего аудита Certik указывает на высокий риск централизации всего проекта Merlin DEX.
Даже схему нарисовали, где наглядно показали, что владелец контрактов может управлять всеми функциями протокола.
Под всеми функциями подразумевается вывод средств пользователей, передача владения позициями на другой адрес, черный список, снятие наград...
Проще говоря - у разработчиков этого проекта был тотальный контроль над всем протоколом и его функциями.
За пару дней работяги занесли туда чуть больше 2 миллионов долларов, ожидая получить высокую доходность на свои активы за счет фантиков биржи.
А через 2 дня все средства пользователей были выведены. Разработчики, естественно, свалили это на компрометацию своих приватных ключей.
Якобы хакеры получили доступ к их устройствам, где хранились приватные ключи и вывели все бабки.
На Defillama можно наглядно увидеть рост и падение TVL на графике - https://defillama.com/protocol/merlin-dex
А еще чуть ниже увидеть раздел Audit, где красуется ссылка на PDF файл от Certik, которая для 99% пользователей является гарантией безопасности.
Обязательно читай то, что написано в аудите. Причем не обязательно изучать весь аудит от начала до конца.
Можно ограничиться итогами, которые аудиторская компания подводит в конце. Там очень легко разобраться и найти уязвимости, которые открыто показывает аудит.
1 минута
7 мая 2024