Il y a quelques jours, la société d’audit de contrats intelligents CertiK a joué un rôle crucial dans l’affaire du tapis tiré de 1,8 million de dollars par Merlin, un exchange décentralisé développé sur le réseau zkSync.
Après que Merlin a tiré la couverture sur ses utilisateurs, l’entreprise de cybersécurité de la blockchain a réussi à récupérer 160.000 dollars avec l’aide de plusieurs partenaires commerciaux.
Voyons les détails de cette histoire intéressante.
Summary
CertiK et le coup du DEX Merlin
Le 24 avril, la société DEX Merlin, basée sur zkSync, a annoncé que son équipe de back-end avait frauduleusement dérobé les actifs de ses utilisateurs en vidant les pools de liquidités du protocole décentralisé pour un montant de 1,8 million de dollars.
Les initiés ont manipulé tous les contrats front-end via une fonction cachée qui permettait un appel aux pools de l’exchange, et ont réussi à accéder à l’hébergeur du projet pour conditionner le code source afin de voler tous les fonds précédemment déposés.
La nouvelle a été diffusée par une partie de l’équipe Merlin, qui n’était pas consciente du pouvoir que les développeurs du back-end avaient sur les contrats intelligents qu’ils avaient intégrés au protocole.
CertiK, une société d’audit qui avait vérifié tous les contrats de Merlin sans détecter aucune faille dans les systèmes dorsaux, a immédiatement pris des mesures en s’engageant à verser 2 millions de dollars pour identifier les auteurs du rug pull et rembourser les fonds aux utilisateurs volés.
Cette action a rencontré des difficultés en raison du manque de coopération de certains membres de l’équipe qui ne voulaient pas donner leurs coordonnées personnelles compte tenu de la gravité de la situation.
Après avoir impliqué plusieurs partenaires commerciaux et informé la police et les autorités compétentes aux États-Unis et au Royaume-Uni, CertiK a réussi à récupérer une partie des fonds volés sous forme de contrats intelligents, soit 160.000 dollars.
À l’heure actuelle, une partie du montant volé, qui s’élève à 500 ETH (environ 920.000$), est conservée à cette adresse, tandis que le reste a été détourné vers plusieurs dizaines de portefeuilles dont il est difficile d’assurer le suivi et d’identifier à qui ils appartiennent.
Tout ce que l’on sait, c’est que l’équipe de back-end a développé par le passé d’autres projets tels que Dynochain, Discoverilla et InterFinetwork, et que les individus du groupe sont basés en Serbie, un pays où les autorités de surveillance ont été rapidement alertées par la « bonne » équipe de Merlin.
Même si Merlin parvient à récupérer les fonds détournés de ses utilisateurs en faisant preuve d’un engagement transparent, elle ne pourra probablement plus gagner la confiance de la communauté, désabusée par le manque de diligence dans le contrôle des individus qui avaient la capacité technique de vider les pools DEX.
Qu’est-ce que CertiK?
CertiK est une société de cybersécurité blockchain leader de l’industrie qui se concentre sur l’analyse des contrats intelligents à la recherche de bugs ou de failles potentielles qui pourraient compromettre l’intégrité d’un protocole.
Fondée en 2018 par Zhong Shao et Ronghui Gu, deux professeurs des universités de Columbia et de Yale, CertiK utilise des contrôles formels et la technologie de l’IA pour surveiller les mouvements sur la chaîne, mener des audits et protéger les web apps contre les attaques de toutes sortes.
L’entreprise est l’une des entités les plus respectées dans le monde de la cryptographie, ayant servi plus de 3.843 clients depuis sa création et évalué des infrastructures qui gèrent actuellement environ 384 milliards de dollars.
CertiK depuis 2018 a réussi à identifier plus de 60.000 vulnérabilités sur les smart contracts et les layer 1 qu’elle a analysés.
Parmi les noms les plus influents des projets crypto qui ont eu recours aux services de CertiK, on peut citer PancakeSwap, 1inch, ApeCoin, Tether, Fetch.ai, la chaîne BNB, Polygon, Aave, Aptos, TrueUSD, Decentraland, The Sandbox, Shiba Inu et bien d’autres encore.
En ce qui concerne les investisseurs qui ont parié sur le brillant avenir de la société d’audit, nous trouvons des noms importants tels que Sequoia Capital, Goldman Sachs, Insight Partners, Coinbase, Binance, Tiger Global, Coatue et Soft Bank.
Le nom de CertiK est l’un des plus renommés parmi les entreprises qui rassurent les protocoles et les infrastructures contre les vulnérabilités et les cyberattaques potentielles, bien qu’il ait perdu un peu de son lustre ces derniers temps en raison de quelques mésaventures et d’audits imprécis.
CertiK a manqué de diligence dans l’analyse des smart contract de Merlin: la communauté crypto est furieuse.
Dans le cas du tapis tiré par Merlin, il est apparu que CertiK n’avait pas fait un travail diligent dans l’analyse des failles du code du protocole, qui, soit dit en passant, est un fork de Camaleot exchange, un DEX natif sur Arbitrum. Pour trouver les faiblesses de Merlin, il suffisait donc de comparer les deux codes et de vérifier s’il y avait des différences.
Au lieu de cela, la société d’audit a apparemment fait une lecture approximative, perdant de vue une vulnérabilité majeure qui a ensuite conduit à l’attaque des pools de liquidités de Merlin.
Selon CertiK, l’erreur est due au fait que la société n’a pas suffisamment mis en évidence certains privilèges centralisés de l’équipe de back-end et n’a pas distingué ce risque dans son rapport.
La communauté s’est montrée furieuse car l’entreprise a mis 10 jours et gagné 50.000 dollars pour analyser un code sans mentionner explicitement la faille potentielle.
Un utilisateur anonyme a posté un tweet disant que ChatGPT avait également réussi à trouver les deux lignes de code qui ont permis de tirer la couverture à soi.
Quel est donc l’intérêt de faire appel à une société d’audit, de dépenser beaucoup d’argent et d’attendre plusieurs jours pour un résultat médiocre lorsqu’un chatbot IA parvient à faire mieux?
Même Charles Paladin, auditeur principal des contrats intelligents de l’exchange Camaleot, a déclaré que CertiK n’avait très probablement même pas jeté un coup d’œil aux contrats intelligents de Merlin, car il est très difficile de passer à côté d’une vulnérabilité aussi importante et évidente.
Après cette affaire, CertiK a perdu beaucoup de sa crédibilité, même s’il a réussi à récupérer 160.000 dollars, entre autres grâce à l’aide de ses partenaires tels que CEX et des sociétés de surveillance de la chaîne, et non grâce à ses propres capacités techniques.
Nous espérons que de telles histoires ne se reproduisent pas, car elles risquent de faire perdre la confiance de l’ensemble du secteur des DeFi, et pas seulement d’une seule entité qui aurait péché par excès de diligence.
