DeFi项目Swaprum在被CertiK审计后仅数周,就带着客户资金消失了,总额达300万美元,这似乎是一次地毯式拉动。现在人们把矛头指向了CertiK,说它批准了 “另一个地毯式拉动”。
安全公司PeckShield在推特上说,这些钱是以太坊的形式,”骗子 “使用流行的硬币混合应用程序Tornado Cash来洗刷资金。
Swaprum是一个运行在以太坊扩展解决方案Arbitrum上的分散式交易所(DEX),现在似乎已经删除了其所有的社交媒体账户。它的网站,允许用户在不注册的情况下交换数字硬币和代币,仍然活跃。
当一个开发者推出一个看似合法的项目,但随后带着投资者的资金消失时,就会发生地毯式的拉扯。去中心化的金融协议–那些想把银行和经纪公司的工作自动化的应用程序–会受到黑客和地毯式拉动的严重打击。这是因为该领域是新的和实验性的。
PeckShieldAler rugpull @Swaprum on Arbitrum rugged ~$3M, $SAPR has dropped -100%. @Swaprum已经删除了其社交账户/群组。
骗子已经将~1,628个$ETH嫁接到以太坊,并将1,620个$ETH清洗到龙卷风现金https://t。 co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert(@PeckShieldAlert)5月19日,2023
CertiK本月早些时候发布了对DEX的审计报告,称其没有关键风险,但有三个主要风险–包括协议严重集中化。
此后,CertiK在Twitter上因此受到了批评。”作为一家[原文如此]审计公司,CertiK可以自由选择与谁做生意,”TradingStrategy.ai联合创始人Mikko Ohtamaa写道。
“CertiK做出了一个深思熟虑的商业决定,批准了另一个地毯式拉动。”
Swaprum (@Swaprum)在Arbitrum上被其创始人以约3亿美元的价格加固。
下面是发生的事情:
…
– Hacken (@hackenclub) May 19, 2023
但CertiK推脱说,审计并不能保证一个团队已经做出了它所建议的所有改变。
“作为一个审计师,我们不能强迫项目实施我们的建议,但我们可以明确和公开地指出我们发现的漏洞,”CertiK的一位发言人告诉TCN。”我们对Swaprum就是这样做的,审计报告可以在我们的网站上免费查阅。”
该公司继续解释它认为Swaprum是如何被利用的,说在智能合约被审计后,一部分代码被替换成恶意代码。
“部署者没有操纵经过审计的MasterChef合约,而是用未经审计的恶意合约替换了它,以便进行地毯式攻击,”该公司说。”该漏洞源于代理升级能力(我们称之为重大漏洞),而不是我们审计的智能合约的问题。”
就在上个月,CertiK审计的另一个DEX,基于zkSync的Merlin,被抽走了约182万美元。CertiK将Merlin的攻击归咎于 “流氓开发者”。
在Twitter上的一篇文章中,CertiK说,”初步调查表明,流氓开发者位于欧洲,我们正在与执法部门合作追踪他们,”并敦促他们接受20%的白帽子赏金。梅林公司自己在Twitter上指责 “后端团队的几个成员 “榨干了其合同。