DeFi проект Swaprum исчез с клиентскими средствами на общую сумму 3 миллиона долларов в результате, похоже, «ковровой дорожки», всего через несколько недель после того, как он был проверен CertiK. Теперь люди указывают пальцем на CertiK, говоря, что она одобрила «еще одну кражу».
Охранная фирма PeckShield сообщила в Твиттере, что деньги были в форме Ethereum, а «мошенники» использовали популярное приложение для смешивания монет Tornado Cash для отмывания средств.
Swaprum, децентрализованная биржа (DEX), работающая на базе решения Arbitrum для масштабирования Ethereum, похоже, удалила все свои аккаунты в социальных сетях. Ее веб-сайт, который позволяет пользователям обменивать цифровые монеты и токены без регистрации, остается активным.
Перетягивание ковра происходит, когда разработчик запускает проект, который кажется законным, но затем исчезает вместе с деньгами инвесторов. Децентрализованные финансовые протоколы — приложения, которые стремятся автоматизировать работу банков и брокерских контор, — сильно страдают от взломов и краж. Это происходит потому, что сфера является новой и экспериментальной.
PeckShieldAler rugpull @Swaprum на Arbitrum урвал ~$3M, $SAPR упал на -100%. @Swaprum уже удалил свои социальные аккаунты/группы.
Мошенники перевели ~1,628 $ETH в Ethereum и отмыли 1,620 $ETH в Tornado Cashhttps://t. co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy— PeckShieldAlert (@PeckShieldAlert) May 19, 2023
CertiK опубликовала свой аудит DEX ранее в этом месяце, заявив, что у него нет критических рисков, но есть три основных риска, включая то, что протокол был сильно централизован.
В связи с этим CertiK подверглась критике в Twitter. «Как аудиторская компания, CertiK вольна выбирать, с кем вести дела», — написал соучредитель TradingStrategy.ai Микко Охтамаа.
«CertiK приняла взвешенное деловое решение одобрить очередное перетягивание ковра».
Swaprum (@Swaprum) на Arbitrum продан его основателями за ~$3M
Вот что произошло:
…
— Hacken (@hackenclub) May 19, 2023
Но компания CertiK выступила против, заявив, что аудит не является гарантией того, что команда внесла все рекомендованные изменения.
«Как аудитор, мы не можем заставить проекты выполнять наши рекомендации, но мы можем четко и публично указать на уязвимости, где мы их находим», — сказал TCN представитель CertiK. «Мы сделали это со Swaprum, и отчет об аудите находится в свободном доступе на нашем сайте».
Далее компания объяснила, как, по ее мнению, была использована Swaprum, заявив, что часть кода была заменена вредоносным кодом после аудита смарт-контракта.
«Вместо того чтобы манипулировать проверенным контрактом MasterChef, внедритель заменил его непроверенным вредоносным контрактом, чтобы осуществить rugpull», — заявили в компании. «Уязвимость связана с возможностью обновления прокси (которую мы назвали серьезной уязвимостью), а не с проблемой смарт-контракта, который мы проверяли».
Только в прошлом месяце из другого DEX, проверенного CertiK, Merlin на базе zkSync, было выведено около $1,82 млн. CertiK обвинила в атаке на Merlin «недобросовестных разработчиков».
В своем сообщении в Twitter CertiK заявила, что «первоначальные расследования показали, что разработчики-изгои находятся в Европе, и мы сотрудничаем с правоохранительными органами, чтобы выследить их», и призвала их принять вознаграждение в размере 20% от «белой шляпы». Сама компания Merlin обвинила «нескольких членов команды Back-End» в сливе своих контрактов в сообщении в Twitter.
