El proyecto
DeFi Swaprum ha desaparecido con fondos de clientes por un total de 3 millones de dólares en lo que parece ser un tirón de alfombra, apenas unas semanas después de haber sido auditado por CertiK. Ahora la gente está señalando con el dedo a CertiK, diciendo que aprobó «otro tirón de alfombra».
La empresa de seguridad PeckShield dijo en Twitter que el dinero estaba en forma de Ethereum y que los «estafadores» utilizaron la popular aplicación de mezcla de monedas Tornado Cash para blanquear los fondos.
Swaprum, una bolsa descentralizada (DEX) que funciona con la solución de escalado de Ethereum Arbitrum, parece haber eliminado todas sus cuentas en las redes sociales. Su sitio web, que permite a los usuarios intercambiar monedas y fichas digitales sin registrarse, sigue activo.
Un tirón de alfombra se produce cuando un desarrollador lanza un proyecto que parece legítimo pero luego desaparece con los fondos de los inversores. Los protocolos financieros descentralizados -aplicaciones que quieren automatizar lo que hacen los bancos y las agencias de valores- se ven muy afectados por los hackeos y los tirones de alfombra. Esto se debe a que se trata de un ámbito nuevo y experimental.
PeckShieldAler rugpull @Swaprum on Arbitrum rugged ~$3M, $SAPR has dropped -100%. @Swaprum ya ha eliminado sus cuentas/grupos sociales.
Los estafadores han puenteado ~1.628 $ETH a Ethereum y blanqueado 1.620 $ETH a Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) 19 de mayo de 2023
CertiK publicó su auditoría del DEX a principios de este mes, afirmando que no presentaba riesgos críticos, pero sí tres riesgos importantes, entre ellos que el protocolo estaba muy centralizado.
Desde entonces, CertiK ha sido criticada en Twitter por ello. «Como empresa auditora, CertiK es libre de elegir con quién hace negocios», escribió Mikko Ohtamaa, cofundador de TradingStrategy.ai.
«CertiK tomó una decisión comercial deliberada para aprobar otro tirón de alfombra».
Swaprum (@Swaprum) en Arbitrum escabullida por sus fundadores por ~3M$.
Esto es lo que pasó:
…
– Hacken (@hackenclub) 19 de mayo de 2023
Pero CertiK ha contestado que una auditoría no garantiza que un equipo haya hecho todos los cambios recomendados.
«Como auditores, no podemos obligar a los proyectos a aplicar nuestras recomendaciones, pero podemos señalar clara y públicamente las vulnerabilidades que encontramos», dijo un portavoz de CertiK a TCN. «Así lo hicimos con Swaprum, y el informe de auditoría es de libre acceso en nuestro sitio web».
La compañía continuó explicando cómo cree que Swaprum fue explotado, diciendo que una parte del código fue reemplazada por código malicioso después de que el contrato inteligente fuera auditado.
«En lugar de manipular el contrato MasterChef auditado, el implementador lo reemplazó con un contrato malicioso no auditado para llevar a cabo el rugpull», dijo la compañía. «La vulnerabilidad se deriva de la capacidad de actualización del proxy (que señalamos como una vulnerabilidad importante), en lugar de un problema con el contrato inteligente que auditamos».
El mes pasado, otra DEX auditada por CertiK, Merlin, basada en zkSync, fue despojada de alrededor de 1,82 millones de dólares. CertiK culpó del ataque a Merlin a «desarrolladores deshonestos».
En un post en Twitter, CertiK dijo que «las investigaciones iniciales indican que los desarrolladores deshonestos tienen su base en Europa, y estamos trabajando con las fuerzas de seguridad para localizarlos», y les instó a aceptar una recompensa de sombrero blanco del 20%. La propia Merlin acusó a «varios miembros del equipo de Back-End» de vaciar sus contratos en un post de Twitter.
