Le projet DeFi Swaprum a disparu avec des fonds de clients totalisant 3 millions de dollars dans ce qui semble être un coup monté, quelques semaines seulement après avoir été audité par CertiK. Aujourd’hui, les gens pointent du doigt CertiK, en disant qu’il a approuvé « un autre coup fourré ».
La société de sécurité PeckShield a déclaré sur Twitter que l’argent était sous forme d’Ethereum et que les « escrocs » utilisaient l’application populaire de mélange de pièces Tornado Cash pour blanchir les fonds.
Swaprum, une bourse d’échange décentralisée (DEX) qui fonctionne sur la solution de mise à l’échelle d’Ethereum Arbitrum, semble avoir supprimé tous ses comptes sur les médias sociaux. Son site web, qui permet aux utilisateurs d’échanger des pièces et des jetons numériques sans s’inscrire, reste actif.
On parle de « rug pull » lorsqu’un développeur lance un projet qui semble légitime, mais qui disparaît ensuite avec les fonds des investisseurs. Les protocoles financiers décentralisés – des applications qui veulent automatiser ce que font les banques et les sociétés de courtage – sont durement touchés par les piratages et les « rug pull ». Cela s’explique par le fait que la sphère est nouvelle et expérimentale.
PeckShieldAler rugpull @Swaprum sur Arbitrum robuste ~3M$, $SAPR a chuté de -100%. @Swaprum a déjà supprimé ses comptes/groupes sociaux.
Les escrocs ont fait le pont entre ~1 628 $ETH et Ethereum et ont blanchi 1 620 $ETH vers Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) May 19, 2023
CertiK a publié son audit du DEX au début du mois, affirmant qu’il ne présentait pas de risques critiques mais trois risques majeurs, notamment le fait que le protocole était fortement centralisé.
CertiK a depuis été critiqué sur Twitter. « En tant que société d’audit, CertiK est libre de choisir avec qui elle fait affaire », a écrit Mikko Ohtamaa, cofondateur de TradingStrategy.ai.
CertiK a pris une décision commerciale délibérée d’approuver un autre « rug pull ».
Swaprum (@Swaprum) sur Arbitrum, racheté par ses fondateurs pour ~3M$.
Voici ce qui s’est passé :
…
– Hacken (@hackenclub) May 19, 2023
But CertiK s’est défendu, affirmant qu’un audit ne garantit pas qu’une équipe a effectué tous les changements qu’il a recommandés.
« En tant qu’auditeur, nous ne pouvons pas forcer les projets à mettre en œuvre nos recommandations, mais nous pouvons clairement et publiquement signaler les vulnérabilités là où nous les trouvons », a déclaré un porte-parole de CertiK à TCN. « C’est ce que nous avons fait avec Swaprum, et le rapport d’audit est librement accessible sur notre site web. »
La société a ensuite expliqué comment elle pense que Swaprum a été exploité, en disant qu’une partie du code a été remplacée par un code malveillant après que le contrat intelligent a été audité.
« Au lieu de manipuler le contrat MasterChef audité, le déployeur l’a remplacé par un contrat malveillant non audité afin de réaliser le rugpull », a déclaré la société. « La vulnérabilité découle de la possibilité de mise à niveau du proxy (que nous avons qualifiée de vulnérabilité majeure), plutôt que d’un problème lié au contrat intelligent que nous avons audité. »
Le mois dernier, un autre DEX audité par CertiK, Merlin, basé sur zkSync, a été vidé d’environ 1,82 million de dollars. CertiK a attribué l’attaque de Merlin à des « développeurs malhonnêtes ».
Dans un message publié sur Twitter, CertiK a déclaré que « les premières investigations indiquent que les développeurs malhonnêtes sont basés en Europe, et nous travaillons avec les forces de l’ordre pour les retrouver », et les a exhortés à accepter une prime de 20 % de la part d’un « white hat bounty ». Merlin elle-même a accusé « plusieurs membres de l’équipe Back-End » d’avoir vidé ses contrats dans un message sur Twitter.
