Das
DeFi-Projekt Swaprum ist mit Kundengeldern in Höhe von insgesamt 3 Millionen Dollar verschwunden, nur wenige Wochen nachdem es von CertiK geprüft wurde. Jetzt zeigen die Leute mit dem Finger auf CertiK und sagen, es habe „eine weitere Abzocke“ genehmigt.
Das Sicherheitsunternehmen PeckShield erklärte auf Twitter, dass das Geld in Form von Ethereum geflossen sei und die „Betrüger“ die beliebte Münzmisch-App Tornado Cash benutzt hätten, um das Geld zu waschen.
Swaprum, eine dezentralisierte Börse (DEX), die auf der Ethereum-Skalierungslösung Arbitrum läuft, scheint nun alle seine Social-Media-Konten gelöscht zu haben. Die Website, auf der Nutzer digitale Münzen und Token tauschen können, ohne sich anzumelden, bleibt jedoch aktiv.
Ein Rug Pull passiert, wenn ein Entwickler ein Projekt startet, das legitim erscheint, dann aber mit den Geldern der Investoren verschwindet. Dezentrale Finanzprotokolle – Anwendungen, die die Arbeit von Banken und Maklern automatisieren wollen – sind stark von Hacks und Rug Pulls betroffen. Das liegt daran, dass dieser Bereich noch neu und experimentell ist.
PeckShieldAler rugpull @Swaprum on Arbitrum rugged ~$3M, $SAPR has dropped -100%. @Swaprum hat seine sozialen Konten/Gruppen bereits gelöscht.
Die Betrüger haben ~1.628 $ETH zu Ethereum überführt und 1.620 $ETH zu Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) May 19, 2023
CertiK veröffentlichte Anfang des Monats seine Prüfung des DEX und stellte fest, dass es keine kritischen Risiken, aber drei Hauptrisiken gibt, darunter die starke Zentralisierung des Protokolls.
CertiK wurde daraufhin auf Twitter kritisiert. „Als Wirtschaftsprüfungsgesellschaft steht es CertiK frei zu wählen, mit wem sie Geschäfte machen“, schrieb TradingStrategy.ai-Mitbegründer Mikko Ohtamaa.
„CertiK hat eine bewusste Geschäftsentscheidung getroffen, um einen weiteren Rug Pull zu genehmigen.“
Swaprum (@Swaprum) auf Arbitrum von seinen Gründern für ~$3M
Das ist passiert:
…
– Hacken (@hackenclub) May 19, 2023
Aber CertiK hat zurückgeschlagen und gesagt, dass ein Audit keine Garantie dafür ist, dass ein Team alle von ihm empfohlenen Änderungen vorgenommen hat.
„Als Prüfer können wir Projekte nicht dazu zwingen, unsere Empfehlungen umzusetzen, aber wir können klar und öffentlich auf Schwachstellen hinweisen, wenn wir sie finden“, sagte ein CertiK-Sprecher gegenüber TCN. „Wir haben dies bei Swaprum getan, und der Auditbericht ist auf unserer Website frei zugänglich.“
Das Unternehmen fuhr fort zu erklären, wie es glaubt, dass Swaprum ausgenutzt wurde, und sagte, dass ein Teil des Codes mit bösartigem Code ersetzt wurde, nachdem der intelligente Vertrag geprüft wurde.
„Anstatt den geprüften MasterChef-Vertrag zu manipulieren, ersetzte der Entwickler ihn durch einen ungeprüften bösartigen Vertrag, um den Rugpull auszuführen“, so das Unternehmen. „Die Schwachstelle rührt von der Proxy-Upgrade-Fähigkeit her (die wir als große Schwachstelle bezeichnet haben) und nicht von einem Problem mit dem von uns geprüften Smart Contract.“
Erst letzten Monat wurde ein anderer von CertiK geprüfter DEX, der auf zkSync basierende Merlin, um rund 1,82 Millionen Dollar erleichtert. CertiK machte für den Merlin-Angriff „abtrünnige Entwickler“ verantwortlich.
In einem Beitrag auf Twitter sagte CertiK, dass „erste Untersuchungen darauf hindeuten, dass die bösartigen Entwickler in Europa ansässig sind, und wir arbeiten mit den Strafverfolgungsbehörden zusammen, um sie aufzuspüren“, und forderte sie auf, ein Kopfgeld von 20 % zu akzeptieren. Merlin selbst beschuldigte in einem Twitter-Posting „mehrere Mitglieder des Back-End-Teams“, seine Verträge zu sabotieren
