DeFi project Swaprum is verdwenen met fondsen van klanten voor een totaalbedrag van $3 miljoen in wat een “rug pull” lijkt te zijn, slechts enkele weken nadat het was gecontroleerd door CertiK. Nu wijzen mensen met een beschuldigende vinger naar CertiK en zeggen dat het “nog een “rug pull” heeft goedgekeurd.
Beveiligingsbedrijf PeckShield zei op Twitter dat het geld in de vorm van Ethereum was en dat de “oplichters” de populaire coin mixing app Tornado Cash gebruikten om het geld wit te wassen.
Swaprum, een gedecentraliseerde exchange (DEX) die draait op de Ethereum-schalingsoplossing Arbitrum, lijkt nu al zijn sociale media-accounts te hebben verwijderd. De website, waarop gebruikers digitale munten en tokens kunnen ruilen zonder zich aan te melden, blijft actief.
Er is sprake van een “rug pull” wanneer een ontwikkelaar een project lanceert dat legitiem lijkt, maar vervolgens verdwijnt met het geld van investeerders. Gedecentraliseerde financiële protocollen – apps die willen automatiseren wat banken en makelaars doen – worden hard getroffen door hacks en rug pulls. Dit komt omdat de sfeer nieuw en experimenteel is.
PeckShieldAler rugpull @Swaprum op Arbitrum ruig ~$3M, $SAPR is -100% gedaald. @Swaprum heeft zijn sociale accounts/groepen al verwijderd.
De oplichters hebben ~1.628 $ETH overgeboekt naar Ethereum en 1.620 $ETH witgewassen naar Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) Mei 19, 2023
CertiK publiceerde eerder deze maand zijn audit van de DEX en zei dat er geen kritieke risico’s waren, maar wel drie grote risico’s, waaronder het feit dat het protocol zwaar gecentraliseerd was.
CertiK heeft sindsdien kritiek gekregen op Twitter. “Als [sic] auditbedrijf is CertiK vrij om te kiezen met wie ze zaken doen,” schreef TradingStrategy.ai medeoprichter Mikko Ohtamaa.
“CertiK heeft een bewuste zakelijke beslissing genomen om nog een rug pull goed te keuren.”
Swaprum (@Swaprum) op Arbitrum geruild door de oprichters voor ~$3M
Dit is wat er gebeurde:
…
– Hacken (@hackenclub) Mei 19, 2023
Maar CertiK heeft teruggewezen en gezegd dat een audit geen garantie is dat een team alle aanbevolen veranderingen heeft doorgevoerd.
“Als auditor kunnen we projecten niet dwingen om onze aanbevelingen te implementeren, maar we kunnen wel duidelijk en publiekelijk kwetsbaarheden benoemen waar we ze vinden,” vertelde een woordvoerder van CertiK aan TCN. “We hebben dit gedaan met Swaprum en het auditrapport is vrij toegankelijk op onze website.”
Het bedrijf legde verder uit hoe het denkt dat Swaprum werd misbruikt, door te zeggen dat een deel van de code werd vervangen door kwaadaardige code nadat het slimme contract werd gecontroleerd.
“In plaats van het gecontroleerde MasterChef-contract te manipuleren, verving de ontwikkelaar het door een niet-gecontroleerd kwaadaardig contract om de rugpull uit te voeren”, aldus het bedrijf. “De kwetsbaarheid komt voort uit de proxy upgradability (die we noemden als een belangrijke kwetsbaarheid), in plaats van een probleem met het smart contract dat we controleerden.”
Vorige maand nog werd een andere DEX die door CertiK werd gecontroleerd, de op zkSync gebaseerde Merlin, van ongeveer $1,82 miljoen beroofd. CertiK gaf de schuld van de Merlin-aanval aan “malafide ontwikkelaars”.
In een bericht op Twitter zei CertiK: “Eerste onderzoeken wijzen uit dat de malafide ontwikkelaars in Europa zijn gevestigd en we werken samen met wetshandhavers om ze op te sporen” en drong er bij hen op aan om een white hat bounty van 20% te accepteren. Merlin zelf beschuldigde “verschillende leden van het Back-End team” van het aftappen van zijn contracten in een Twitter post.
