HomeBlockchainSicurezzaLa società di auditing CertiK “colpevole” del rug pull di Merlin

La società di auditing CertiK “colpevole” del rug pull di Merlin

Pochi giorni fa la società di auditing di smart contract CertiK ha svolto un ruolo cruciale nella vicenda del rug pull da 1,8 milioni di dollari da parte di Merlin, un exchange decentralizzato sviluppato sulla rete zkSync. 

Dopo che Merlin ha tirato il tappeto sui suoi utenti, la società di sicurezza informatica in ambito blockchain è riuscita a recuperare 160 mila dollari tramite l’aiuto di diversi partner commerciali.

Vediamo i dettagli di questa interessante storia.

CertiK e il rug pull del DEX Merlin

Il 24 aprile il DEX Merlin basato su zkSync, ha annunciato che il proprio team di back end ha fraudolentemente derubato gli asset dei propri utenti svuotando le liquidity pool del protocollo decentralizzato in un bottino da 1,8 milioni di dollari.

Gli insider hanno manipolato tutti i contratti front-end tramite una funzione nascosta che ha consentito un’azione di chiamata verso le pool dell’exchange, riuscendo, inoltre, ad accedere all’host web del progetto per condizionare il codice sorgente, al fine di rubare tutti i fondi depositati in precedenza.

La notizia è stata diffusa da una parte del team di Merlin, inconsapevole del potere che gli sviluppatori back end avevano sui contratti intelligenti che avevano integrato nel protocollo.

CertiK, società di auditing che aveva verificato tutti i contratti di Merlin senza evidenziare alcuna falla nei sistemi back-end, si è subito movimentata impegnando 2 milioni di dollari per riuscire ad individuare gli autori del rug pull e restituire i fondi agli utenti derubati.

Quest’ultima ha riscontrato delle difficoltà vista la mancanza di cooperazione di una parte dei core members del team che non hanno voluto dare le proprie generalità vista la gravità della situazione.

Dopo aver coinvolto diversi partner commerciali ed aver informato le forze dell’ordine e le autorità competenti degli Stati Uniti e del Regno Unito, CertiK è riuscita a recuperare parte della liquidità sottratta dagli smart contract, pari a 160 mila dollari.

Attualmente parte dell’importo rubato che ammonta a 500 ETH (920 mila dollari circa) sono custoditi in questo indirizzo, mentre la restante fetta è stata dirottata su diverse decine di wallet di cui si fa fatica a tenere traccia ed individuare a chi appartengono.

Tutto ciò che è noto è che il team di back-end aveva sviluppato in passato altri progetti come Dynochain, Discoverilla e InterFinetwork e che gli individui che fanno parte del gruppo hanno sede in Serbia,  paese dove sono state avvertite prontamente le autorità di vigilanza da parte del team “buono” di Merlin.

Anche se Merlin riuscisse a ritrovare i fondi sottratti ai propri utenti dimostrando un impegno trasparente, probabilmente non riuscirà più ad ottenere la fiducia della community, ormai delusa dalla mancanza di diligenza in merito ai controlli sui soggetti che hanno avuto la possibilità tecnica di svuotare le pool del DEX.

Che cos’è CertiK?

CertiK è una società di sicurezza informatica blockchain leader del settore, che si occupa principalmente di analizzare smart contract per verificare se ci sono bug  o potenziali falle che potrebbero compromettere l’integrità di un protocollo.

Fondata nel 2018 da Zhong Shao e Ronghui Gu, due professori delle università Columbia e Yale, CertiK utilizza controlli formali e tecnologia AI per monitorare movimenti on-chain, svolgere audit e proteggere app web da attacchi di ogni tipo.

L’azienda è una delle entità più rispettate del mondo crypto, avendo servito più di 3.843 clienti dalla sua nascita e valutato infrastrutture che gestiscono attualmente circa 384 miliardi di dollari

CertiK dal 2018 è riuscita ad individuare più di 60.000 vulnerabilità sugli smart contract e layer 1 che ha analizzato. 

Tra alcuni dei nomi più influenti di progetti crypto che hanno utilizzato i servizi di CertiK troviamo PancakeSwap, 1inch, ApeCoin, Tether, Fetch.ai, la BNB Chain, Polygon, Aave, Aptos, TrueUSD, Decentraland, The Sandbox, Shiba Inu e molti altri ancora.

Parlando, invece, degli investitori che hanno scommesso su un futuro radioso della società di auditing troviamo nomi di spicco come Sequoia Capital, Goldman Sachs, Insight Partners, Coinbase, Binance, Tiger Global, Coatue e Soft Bank.

Il nome di CertiK è uno dei più rinomati tra le aziende che rassicurano protocolli ed infrastrutture da vulnerabilità e potenziali attacchi informatici, anche se ultimamente sta perdendo un pò il suo lustro a causa di alcuni incidenti di percorso e verifiche poco accurate.

CertiK è stata poco diligente nell’analizzare gli smart contract di Merlin: la community crypto si infuria

Nel caso del rug pull di Merlin è emerso che CertiK non abbia svolto un lavoro diligente nell’analizzare le falle nel codice del protocollo, che tra l’altro è un fork di Camaleot exchange, un DEX nativo su Arbitrum.

Per riscontrare fragilità in Merlin bastava dunque mettere a confronto i due codici e verificare se ci fossero differenze.

A quanto pare invece la società di Auditing ha effettuato una lettura grossolana, perdendo di vista una grossa vulnerabilità che poi ha portato all’attacco delle liquidity pool di Merlin.

Secondo quanto detto dalla stessa CertiK l’errore è stato di non aver evidenziato sufficientemente alcuni privilegi centralizzati del team di back-end e non di aver distinto questo rischio nel loro report.

La community si è infuriata visto che la società ha impiegato 10 giorni e guadagnato 50 mila dollari per analizzare un codice senza menzionare in modo esplicito la potenziale falla.

Un utente anonimo a tal proposito ha pubblicato un tweet dicendo che anche ChatGPT è riuscita a trovare le due righe di codice che hanno poi permesso il rug pull.

A che serve dunque affidarsi ad una società di auditing, spendendo molto soldi ed aspettano diversi giorni per ottenere un risultato scadente quando un chatbot AI riesce a fare di meglio?

Anche Charles Paladin, core auditors degli smart contract di Camaleot exchange ha detto che molto probabilmente CertiK non ha nemmeno dato uno sguardo agli smart contract di Merlin, essendo molto difficile perdere di vista una vulnerabilità così grande ed evidente.

Dopo questa vicenda, CertiK ha perso molto della sua credibilità, anche se è riuscita a recuperare 160 mila dollari, tra l’altro grazie all’aiuto dei suoi partners come CEX e società di monitoraggio on-chain e non tramite le proprie capacità tecniche.

Ci auguriamo che non succedano più storie come queste perché rischiano di far perdere la fiducia di tutto il settore DeFi, e non solo nei confronti di un singolo ente che ha peccato di diligenza.

Alessandro Adami
Alessandro Adami
Laureato in "Informazione, Media e Pubblicità", da oltre 4 anni interessato al settore delle criptovalute e delle blockchain. Co-Fondatore di Tokenparty, community attiva nella diffusione di crypto-entuasiasmo. Co-fondatore di Legal Hackers Civitanova marche. Consulente nel settore delle tecnologie dell'informatica. Ethereum Fan Boy e sostenitore degli oracoli di Chainlink, crede fermamente che in futuro gli smart contract saranno centrali all'interno dello sviluppo della società.
RELATED ARTICLES

MOST POPULARS

GoldBrick