DeFi projekt Swaprum zmizel i s prostředky klientů v celkové výši 3 miliony dolarů, což vypadá jako tahání z koberce, jen několik týdnů poté, co byl auditován společností CertiK. Nyní lidé ukazují prstem na společnost CertiK a tvrdí, že schválila „další vytažení koberce“.
Bezpečnostní firma PeckShield na Twitteru uvedla, že peníze byly ve formě Etherea a „podvodníci“ použili k vyprání prostředků populární aplikaci Tornado Cash na míchání mincí.
Swaprum, decentralizovaná burza (DEX), která běží na řešení škálování Ethereum Arbitrum, nyní zřejmě smazala všechny své účty na sociálních sítích. Její webové stránky, které uživatelům umožňují směňovat digitální mince a tokeny bez registrace, zůstávají aktivní.
Ke stažení koberce dochází, když vývojář spustí projekt, který se zdá být legitimní, ale pak zmizí i s prostředky investorů. Decentralizované finanční protokoly – aplikace, které chtějí automatizovat to, co dělají banky a makléřské společnosti – bývají těžce zasaženy hackery a „rug pull“. Je to proto, že tato sféra je nová a experimentální.
PeckShieldAler rugpull @Swaprum na Arbitrum koberec ~3 miliony dolarů, $SAPR klesl o -100 %. @Swaprum již smazal své sociální účty/skupiny.
Podvodníci přemostili ~1 628 $ETH na Ethereum a vyprali 1 620 $ETH na Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) May 19, 2023
CertiK začátkem tohoto měsíce zveřejnil svůj audit DEX s tím, že neobsahuje žádná kritická rizika, ale tři hlavní rizika – včetně toho, že protokol je silně centralizovaný.
Společnost CertiK byla následně na Twitteru kritizována. „Jako auditorská společnost [sic] si CertiK může svobodně vybrat, s kým bude obchodovat,“ napsal spoluzakladatel TradingStrategy.ai Mikko Ohtamaa.
„Společnost CertiK učinila záměrné obchodní rozhodnutí schválit další tahání za koberec.“
Swaprum (@Swaprum) na koberci Arbitrum odkoupili jeho zakladatelé za ~3 mil. dolarů.
Zde je popis toho, co se stalo:
– Hacken (@hackenclub) 19. května 2023
CertiK se však ohradil s tím, že audit není zárukou, že tým provedl všechny doporučené změny.
„Jako auditor nemůžeme projekty nutit k implementaci našich doporučení, ale můžeme jasně a veřejně upozornit na slabá místa, kde je najdeme,“ řekl TCN mluvčí CertiK. „U společnosti Swaprum jsme tak učinili a zpráva z auditu je volně přístupná na našich webových stránkách.“
Společnost dále vysvětlila, jak si myslí, že byl Swaprum zneužit, a uvedla, že část kódu byla po auditu inteligentního kontraktu nahrazena škodlivým kódem.
„Namísto manipulace s auditovaným kontraktem MasterChef jej deployer nahradil neauditovaným škodlivým kontraktem, aby mohl provést rugpull,“ uvedla společnost. „Zranitelnost vyplývá z možnosti aktualizace proxy serveru (kterou jsme označili za závažnou zranitelnost), nikoliv z problému s inteligentním kontraktem, který jsme auditovali.“
Právě minulý měsíc byl další DEX auditovaný společností CertiK, Merlin založený na zkSync, odčerpán o přibližně 1,82 milionu dolarů. Společnost CertiK z útoku na Merlin obvinila „nepoctivé vývojáře“.
V příspěvku na Twitteru společnost CertiK uvedla, že „počáteční vyšetřování naznačuje, že nepoctiví vývojáři sídlí v Evropě, a my spolupracujeme s orgány činnými v trestním řízení na jejich vypátrání“, a vyzvala je k přijetí 20% odměny za white hat. Samotná společnost Merlin v příspěvku na Twitteru obvinila „několik členů Back-End týmu“ z odčerpávání svých zakázek.
