DeFi проектът Swaprum е изчезнал с клиентски средства на обща стойност 3 млн. долара, което изглежда като издърпване на килимче, само няколко седмици след като е бил одитиран от CertiK. Сега хората сочат с пръст CertiK, като казват, че тя е одобрила „поредното издърпване на килимчето“.
Фирмата за сигурност PeckShield заяви в Twitter, че парите са били под формата на Ethereum и „измамниците“ са използвали популярното приложение за смесване на монети Tornado Cash, за да изперат средствата.
Swaprum, децентрализирана борса (DEX), която работи с решението за мащабиране на Ethereum Arbitrum, изглежда вече е изтрила всичките си акаунти в социалните медии. Уебсайтът ѝ, който позволява на потребителите да разменят цифрови монети и токени, без да се регистрират, остава активен.
Издърпване на килима се случва, когато разработчик стартира проект, който изглежда легитимен, но след това изчезва със средствата на инвеститорите. Децентрализираните финансови протоколи – приложения, които искат да автоматизират работата на банките и брокерските къщи – са силно засегнати от хакерски атаки и изтегляния. Това е така, защото сферата е нова и експериментална.
PeckShieldAler rugpull @Swaprum на Arbitrum килима ~$3M, $SAPR е спаднал с -100%. @Swaprum вече изтри своите социални акаунти/групи.
Измамниците са прехвърлили ~1 628 $ETH към Ethereum и са изпели 1 620 $ETH към Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) 19 май 2023 г.
CertiK публикува своя одит на DEX по-рано този месец, като заяви, че в него няма критични рискове, но има три основни риска – включително това, че протоколът е силно централизиран.
В резултат на това CertiK беше разкритикувана в Twitter. „Като одиторска компания [sic] CertiK е свободна да избира с кого да прави бизнес“, написа съоснователят на TradingStrategy.ai Микко Охтамаа.
„CertiK взе съзнателно бизнес решение да одобри поредното издърпване на килима“.
Swaprum (@Swaprum) на Arbitrum rugged от своите основатели за ~3 млн. долара
Ето какво се случи:
…
– Hacken (@hackenclub) May 19 2023
But CertiK отвърна на удара, като заяви, че одитът не е гаранция, че екипът е направил всички препоръчани от него промени.
„Като одитор ние не можем да принудим проектите да изпълняват нашите препоръки, но можем ясно и публично да посочим уязвимостите, когато ги открием“, заяви говорител на CertiK пред TCN. „Направихме това със Swaprum, а докладът от одита е свободно достъпен на нашия уебсайт.“
Компанията продължи да обяснява как смята, че Swaprum е бил експлоатиран, като заяви, че част от кода е била заменена със злонамерен код, след като интелигентният договор е бил одитиран.
„Вместо да манипулира одитирания договор MasterChef, внедрителят го е заменил с неодитиран злонамерен договор, за да извърши издърпването на килима“, заяви компанията. „Уязвимостта произтича от възможността за надграждане на проксито (която ние нарекохме основна уязвимост), а не от проблем с интелигентния договор, който одитирахме.“
Само миналия месец от друг DEX, одитиран от CertiK, базирания на zkSync Merlin, бяха източени около 1,82 млн. долара. CertiK обвини за атаката срещу Merlin „недобросъвестни разработчици“.
В публикация в Twitter CertiK заяви, че: „Първоначалните разследвания показват, че недобросъвестните разработчици са базирани в Европа и ние работим с правоприлагащите органи, за да ги проследим“, и ги призова да приемат 20% награда за бяла шапка. Самата компания Merlin обвини „няколко членове на Back-End екипа“ в източване на договорите ѝ в публикация в Twitter.
