DeFiプロジェクトSwaprumは、CertiKの監査を受けてからわずか数週間で、顧客資金300万ドルと共に姿を消しました。今、人々はCertiKを指差して、”別のラグ・プル “を承認したと言っています。
セキュリティ会社のPeckShieldはTwitterで、資金はイーサリアムの形で、「詐欺師」は人気のコインミキシングアプリTornado Cashを使って資金洗浄を行ったと述べた。
EthereumスケーリングソリューションArbitrum上で動作する分散型取引所(DEX)であるSwaprumは、現在、すべてのソーシャルメディアアカウントを削除したようです。サインアップせずにデジタルコインやトークンを交換できるそのウェブサイトは、依然としてアクティブなままです。
ラグプルは、開発者が合法的に見えるプロジェクトを立ち上げながら、投資家の資金を持ち逃げすることで発生します。分散型金融プロトコル、つまり銀行や証券会社が行うことを自動化しようとするアプリケーションは、ハッキングやラグ・プルによって大きな打撃を受けることになります。これは、この分野が新しく、実験的であるためです。
(ユーブイエックスダブリューエル
PeckShieldAler rugpull @Swaprum on Arbitrum rugged ~$3M, $SAPR has dropped -100%. @Swaprumは既にソーシャルアカウント/グループを削除しています。
詐欺師たちは、~1,628個の$ETHをEthereumに橋渡しし、1,620個の$ETHをTornado Cashhttps://t にランディングしました。 co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) May 19, 2023
(ユーブイエックスダブリュージェイ)
CertiKは今月初め、DEXの監査を発表し、重大なリスクはなかったが、3つの重大なリスク(プロトコルが激しく中央集権的であることなど)があったと発表しました。
その結果、CertiKはTwitterで批判を浴びました。TradingStrategy.aiの共同設立者であるMikko Ohtamaa氏は、「監査会社であるCertiKは、誰と取引を行うかを自由に選択することができます」と書いています。
“CertiKは、別のラグプルを承認するという意図的なビジネス上の決断をした。”
スワップラム(@Swaprum)をArbitrumで創業者が~300万ドルで険悪に。
以下は、その時の様子です:
– Hacken (@hackenclub) May 19, 2023
..
(ユーブイエックスダブリュージェイ)
しかし、CertiKは、監査は、チームが推奨するすべての変更を行ったことを保証するものではない、と反発しています。
CertiKの広報担当者はTCNに、「監査人として、私たちの勧告をプロジェクトに強制することはできませんが、脆弱性を発見した場合には、明確に公的に指摘することができます」と述べています。”我々はSwaprumでこれを行い、監査報告書は我々のウェブサイトで自由にアクセスできます。”
同社はさらに、Swaprumが悪用されたと考える方法を説明し、スマートコントラクトが監査された後、コードの一部が悪意のあるコードに置き換えられたと述べています。
“導入者は、監査済みのMasterChef契約を操作する代わりに、ラグプルを実行するために、監査されていない悪意のある契約に置き換えた。”と同社は述べています。”この脆弱性は、我々が監査したスマートコントラクトの問題ではなく、(我々が主要な脆弱性として呼びかけた)プロキシのアップグレード可能性に起因しています。”
つい先月、CertiKが監査した別のDEX、zkSyncベースのMerlinが約182万ドルを流出させられました。CertiKは、Merlinの攻撃を “不正な開発者 “のせいだと非難した。
CertiKはTwitterへの投稿で、「初期調査の結果、不正な開発者はヨーロッパに拠点を置いており、法執行機関と協力して追跡しています」と述べ、20%のホワイトハット賞金を受け取るよう促した。Merlin自身もTwitterの投稿で、契約を流出させた「バックエンドチームの数名のメンバー」を非難している。