Il progetto
DeFi Swaprum è scomparso con fondi dei clienti per un totale di 3 milioni di dollari in quello che sembra essere un “rug pull”, solo poche settimane dopo essere stato controllato da CertiK. Ora si punta il dito contro CertiK, dicendo che ha approvato “un altro colpo di mano”.
La società di sicurezza PeckShield ha dichiarato su Twitter che il denaro era sotto forma di Ethereum e che i “truffatori” hanno utilizzato la popolare app di miscelazione di monete Tornado Cash per riciclare i fondi.
Swaprum, uno scambio decentralizzato (DEX) che funziona sulla soluzione di scalatura Ethereum Arbitrum, sembra aver cancellato tutti i suoi account sui social media. Il suo sito web, che permette agli utenti di scambiare monete e token digitali senza iscriversi, rimane attivo.
Un “rug pull” si verifica quando uno sviluppatore lancia un progetto che sembra legittimo ma poi scompare con i fondi degli investitori. I protocolli di finanza decentralizzata – le applicazioni che vogliono automatizzare ciò che fanno le banche e le agenzie di intermediazione – vengono colpiti duramente da hacking e rug pulling. Questo perché la sfera è nuova e sperimentale.
PeckShieldAler rugpull @Swaprum su Arbitrum ha assorbito ~$3M, $SAPR è sceso -100%. @Swaprum ha già cancellato i suoi account/gruppi social.
I truffatori hanno collegato ~1.628 $ETH a Ethereum e riciclato 1.620 $ETH a Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) May 19, 2023
CertiK ha pubblicato la sua revisione del DEX all’inizio del mese, affermando che non presentava rischi critici ma tre rischi principali, tra cui la forte centralizzazione del protocollo.
Da allora CertiK è stata criticata su Twitter. “Come società di revisione, CertiK è libera di scegliere con chi fare affari”, ha scritto Mikko Ohtamaa, cofondatore di TradingStrategy.ai.
“CertiK ha preso una decisione aziendale deliberata per approvare un’altra operazione di rug pull”.
Swaprum (@Swaprum) su Arbitrum, rubata dai suoi fondatori per circa 3 milioni di dollari.
Ecco cosa è successo:
…
– Hacken (@hackenclub) 19 maggio 2023
Ma CertiK ha ribattuto, affermando che un audit non è una garanzia che un team abbia apportato tutte le modifiche raccomandate.
“Come revisore, non possiamo obbligare i progetti a implementare le nostre raccomandazioni, ma possiamo segnalare chiaramente e pubblicamente le vulnerabilità che riscontriamo”, ha dichiarato un portavoce di CertiK a TCN. “Lo abbiamo fatto con Swaprum e il rapporto di audit è liberamente accessibile sul nostro sito web”.
L’azienda ha poi spiegato come pensa che Swaprum sia stato sfruttato, affermando che una parte del codice è stata sostituita con codice dannoso dopo che lo smart contract è stato verificato.
“Invece di manipolare il contratto MasterChef sottoposto a verifica, il deployer lo ha sostituito con un contratto dannoso non sottoposto a verifica per effettuare il rugpull”, ha dichiarato la società. “La vulnerabilità deriva dall’aggiornabilità del proxy (che abbiamo definito una vulnerabilità importante), piuttosto che da un problema con lo smart contract che abbiamo verificato”.
Proprio il mese scorso, un altro DEX controllato da CertiK, Merlin basato su zkSync, è stato prosciugato di circa 1,82 milioni di dollari. CertiK ha dato la colpa dell’attacco a Merlin a “sviluppatori disonesti”.
In un post su Twitter, CertiK ha dichiarato che “le prime indagini indicano che gli sviluppatori disonesti hanno sede in Europa e stiamo collaborando con le forze dell’ordine per rintracciarli” e li ha invitati ad accettare una taglia white hat del 20%. Merlin stessa ha accusato “diversi membri del team Back-End” di aver prosciugato i suoi contratti in un post su Twitter.
