O projecto
DeFi Swaprum desapareceu com os fundos dos clientes, totalizando 3 milhões de dólares, no que parece ser uma puxada de tapete, poucas semanas depois de ter sido auditado pela CertiK. Agora as pessoas estão a apontar o dedo à CertiK, dizendo que aprovou “outra puxada de tapete”.
A empresa de segurança PeckShield disse no Twitter que o dinheiro estava na forma de Ethereum e os “golpistas” usaram o popular aplicativo de mistura de moedas Tornado Cash para lavar os fundos.
Swaprum, uma bolsa descentralizada (DEX) que funciona com a solução de escalonamento Ethereum Arbitrum, parece ter agora excluído todas as suas contas de mídia social. Seu site, que permite aos usuários trocar moedas digitais e tokens sem se inscrever, permanece ativo.
Uma puxada de tapete acontece quando um desenvolvedor lança um projeto que parece legítimo, mas depois desaparece com os fundos dos investidores. Protocolos financeiros descentralizados – aplicativos que querem automatizar o que os bancos e corretoras fazem – são duramente atingidos por hacks e rug pulls. Isto acontece porque a esfera é nova e experimental.
PeckShieldAler rugpull @Swaprum em Arbitrum robusto ~$3M, $SAPR caiu -100%. O @Swaprum já apagou as suas contas/grupos sociais.
Os golpistas fizeram a ponte de ~1.628 $ETH para Ethereum e lavaram 1.620 $ETH para Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) 19 de Maio de 2023
CertiK publicou sua auditoria do DEX no início deste mês, dizendo que ele não tinha riscos críticos, mas três grandes riscos – incluindo o fato de que o protocolo era fortemente centralizado.
Desde então, a CertiK tem sido criticada no Twitter como resultado. “Como uma empresa de auditoria [sic], a CertiK é livre para escolher com quem faz negócios”, escreveu o co-fundador da TradingStrategy.ai, Mikko Ohtamaa.
“A CertiK tomou uma decisão comercial deliberada para aprovar outra puxada de tapete”.
Swaprum (@Swaprum) em Arbitrum, roubado pelos seus fundadores por ~$3M
Aqui está o que aconteceu:
…
– Hacken (@hackenclub) 19 de Maio de 2023
Mas a CertiK recuou, dizendo que uma auditoria não é uma garantia de que uma equipa tenha feito todas as alterações recomendadas.
“Como auditores, não podemos forçar os projectos a implementar as nossas recomendações, mas podemos apontar clara e publicamente as vulnerabilidades onde as encontramos”, disse um porta-voz da CertiK à TCN. “Fizemos isso com o Swaprum e o relatório de auditoria está acessível gratuitamente no nosso sítio Web”.
A empresa passou a explicar como acha que o Swaprum foi explorado, dizendo que uma parte do código foi substituída por código malicioso depois que o contrato inteligente foi auditado.
“Em vez de manipular o contrato MasterChef auditado, o implantador o substituiu por um contrato malicioso não auditado para realizar o rugpull”, disse a empresa. “A vulnerabilidade decorre da capacidade de atualização do proxy (que chamamos de vulnerabilidade principal), em vez de um problema com o contrato inteligente que auditamos.”
No mês passado, outro DEX auditado pela CertiK, Merlin baseado em zkSync, foi drenado em cerca de US $ 1,82 milhão. CertiK culpou o ataque Merlin em “desenvolvedores desonestos”.
Em um post no Twitter, a CertiK disse que “as investigações iniciais indicam que os desenvolvedores desonestos estão baseados na Europa, e estamos trabalhando com a aplicação da lei para localizá-los”, e pediu-lhes para aceitar uma recompensa de 20% de chapéu branco. A própria Merlin acusou “vários membros da equipa de Back-End” de drenar os seus contratos numa publicação no Twitter.
