Аудиты CertiK бесполезны, проекты все равно взламывают

Несколько дней назад неизвестными была взломана децентрализованная биржа Merlin. Потери составили 1,8 миллиона долларов. Об этом сообщили аналитики PeckShield. Интересный факт – биржа недавно прошла аудит у фирмы CertiK, которая не выразила опасений по поводу безопасности на бирже.

Представители аудитора заявили, что занимаются расследованием происшествия. Они не стали комментировать функцию вывода средств из биржи. Сообщили только то, что указали о рисках централизации. Фактически, компания ускользнула от ответственности за плохой аудит.

Краткая справка о CertiK

Краткая справка о CertiK

CertiK, (Certified Kernel Tech), компания по обеспечению безопасности web3, блокчейна и смарт-контрактов.^[1][2] CertiK предоставляет таблицу лидеров безопасности, инструмент, который ранжирует проекты WEB3 по степени риска для безопасности, основанный на ряде сетевых протоколов безопасности.

CertiK открылась в декабре 2017 года, ее главный офис в Нью-Йорке. Основатели — Ронгхуи Гу и Жонг Шао. Ронгхуи Гу – доцент Колумбийского университета. Жонг Шао – профессор в Йельском университете.

Компания проводит аудит, он бывает 4 типов:

1. Краудсейл или токен-контракты.
2. Смарт-контракты.
3. Кошельки и dapps.
4. Блокчейн протоколы.

Ранее у компании была положительная репутация. Но в последнее время ее аудиты стали бесполезными и опасными, так как заказывающих их проекты, уверены, что все проверено и проблем нет. Это не так.

В частности, несколько проектов уже были взломаны, после того, как проходили аудит у CertiK. Это проект Defrost Finance, у него украли миллионы в результате эксплойта 23 декабря 2022 года. Проект заказывал аудит кода у Сертик. По данным Peckshield взлом стал возможен из-за недостатков смарт-контрактов, которые не были выявлены аудиторами.

Агрегатор кроссчейн-свопов Rubic лишился 1,2 миллиона долларов после того, как хакер получил доступ к seed-фразе от кошелька администратора. Площадка также заказывала аудит у CertiK.

Теперь взломана децентрализованная биржа Merlin. Средства также были потеряны, а аудит ничего не обнаружил.

Аудит CertiK бессмысленный и опасный

Аудит CertiK бессмысленный и опасный

Становится очевидно, что заказывать аудит у этой компании очень опасно, поскольку она не выполняет поставленных задач. Есть интересная деталь в контракте компании.

Она проверяет только предоставленный клиентом код и рекомендует инвесторам проводить собственное исследование. Кроме этого, CertiK указывает на то, что позиция ее заключается в том, что каждая компания и частное лицо несут ответственность за должную осмотрительность. Компания не дает гарантии безопасности на технологии, которую соглашается анализировать.

То есть аудиты CertiK бесполезны, и организация не дает никаких гарантий безопасности, подход к проверке формальный. Если проект взломают, виноваты сами разработчики, инвесторы и клиенты. Аудитор за это ответственности не несет! А то что она осуществляет аудит, еще ничего не значит!

Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News