Projekt
DeFi Swaprum zniknął z funduszami klientów o łącznej wartości 3 milionów dolarów w ramach czegoś, co wydaje się być rug pull, zaledwie kilka tygodni po tym, jak został skontrolowany przez CertiK. Teraz ludzie wskazują palcami na CertiK, mówiąc, że zatwierdził „kolejny rug pull”.
Firma ochroniarska PeckShield poinformowała na Twitterze, że pieniądze miały postać Ethereum, a „oszuści” wykorzystali popularną aplikację do mieszania monet Tornado Cash do prania funduszy.
Wydaje się, że Swaprum, zdecentralizowana giełda (DEX), która działa na rozwiązaniu skalującym Ethereum Arbitrum, usunęła wszystkie swoje konta w mediach społecznościowych. Jego strona internetowa, która pozwala użytkownikom wymieniać cyfrowe monety i tokeny bez rejestracji, pozostaje aktywna.
Wyciąganie dywanu ma miejsce, gdy deweloper uruchamia projekt, który wydaje się legalny, ale następnie znika z funduszami inwestorów. Zdecentralizowane protokoły finansowe – aplikacje, które chcą zautomatyzować to, co robią banki i domy maklerskie – są mocno narażone na ataki hakerskie i rug pull. Dzieje się tak dlatego, że sfera ta jest nowa i eksperymentalna.
PeckShieldAler rugpull @Swaprum na Arbitrum ruguje ~$3M, $SAPR spadł -100%. @Swaprum już usunął swoje konta/grupy społecznościowe.
Oszuści zmostkowali ~1,628 $ETH do Ethereum i wyprali 1,620 $ETH do Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) May 19, 2023
CertiK opublikował swój audyt DEX na początku tego miesiąca, stwierdzając, że nie miał on krytycznych zagrożeń, ale trzy główne – w tym to, że protokół był mocno scentralizowany.
W rezultacie CertiK został skrytykowany na Twitterze. „Jako [sic] firma audytorska, CertiK może swobodnie wybierać, z kim prowadzi interesy” – napisał współzałożyciel TradingStrategy.ai, Mikko Ohtamaa.
„CertiK podjął świadomą decyzję biznesową, aby zatwierdzić kolejny rug pull”.
Swaprum (@Swaprum) na Arbitrum przejęte przez założycieli za ~$3M
Oto, co się stało:
…
– Hacken (@hackenclub) 19 maja 2023
Ale CertiK odparł, mówiąc, że audyt nie jest gwarancją, że zespół wprowadził wszystkie zalecane zmiany.
„Jako audytor nie możemy zmusić projektów do wdrożenia naszych zaleceń, ale możemy jasno i publicznie wskazywać luki w zabezpieczeniach tam, gdzie je znajdziemy” – powiedział TCN rzecznik CertiK. „Zrobiliśmy to w przypadku Swaprum, a raport z audytu jest swobodnie dostępny na naszej stronie internetowej”.
Firma wyjaśniła, w jaki sposób jej zdaniem wykorzystano Swaprum, mówiąc, że część kodu została zastąpiona złośliwym kodem po przeprowadzeniu audytu inteligentnego kontraktu.
„Zamiast manipulować skontrolowanym kontraktem MasterChef, wdrożeniowiec zastąpił go nieskontrolowanym złośliwym kontraktem w celu przeprowadzenia rugpull” – powiedziała firma. „Luka wynika z możliwości aktualizacji proxy (którą nazwaliśmy poważną luką w zabezpieczeniach), a nie z problemu z inteligentną umową, którą audytowaliśmy”.
W zeszłym miesiącu inny DEX skontrolowany przez CertiK, Merlin oparty na zkSync, został pozbawiony około 1,82 miliona dolarów. CertiK obwinił za atak na Merlin „nieuczciwych programistów”.
W poście na Twitterze CertiK stwierdził, że „wstępne dochodzenia wskazują, że nieuczciwi programiści mają siedzibę w Europie i współpracujemy z organami ścigania, aby ich wyśledzić” i wezwał ich do zaakceptowania 20% nagrody za biały kapelusz. Sam Merlin oskarżył „kilku członków zespołu Back-End” o drenowanie jego kontraktów w poście na Twitterze.
