Децентрализованная биржа (DEX) Swaprum, основанная на Arbitrum, предположительно провела махинации со своими пользователями, при этом клиентские депозиты на сумму 3 миллиона долларов были украдены с платформы.
Мошенничество с вытягиванием ковра или выходом из строя происходит, когда, казалось бы, законный проект связывает определенную сумму инвестиций или депозитов пользователей, прежде чем быстро закрыть все, вывести капитал и исчезнуть вдали — если они не заместят должным образом свои следы, иликурс.
Согласно сообщению от 19 мая из ориентированного на оповещения аккаунта компании Peck Shield, специализирующейся на безопасности блокчейн, злоумышленники похитили 1628 эфиров (ETH) на сумму примерно 2,95 миллиона долларов по текущим ценам из пулов ликвидности Swaprum, перевели их в Ethereum, а затем «отмыли». почти все эти средства проходят через миксер криптовалют Tornado Cash.
#PeckShieldAler #rugpull @Swaprum on #Arbitrum rugged ~$3M, $SAPR has dropped -100%. @Swaprum already deleted its social accounts/groups.
The scammers have bridged ~1,628 $ETH to #Ethereum and laundered 1,620 $ETH to Tornado Cashhttps://t.co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy— PeckShieldAlert (@PeckShieldAlert) May 19, 2023
После инцидента учетные записи Swaprum в Twitter, Telegram и Github были удалены, однако веб-сайт Swaprum все еще работал на момент написания.
Добавляя дополнительный контекст к инциденту, коллега по безопасности блокчейна Beosin заявил, что «развертыватель Swaprum использовал бэкдор-функцию add() для кражи токенов LP [поставщика ликвидности], поставленных пользователями, а затем удалил ликвидность из пула для получения прибыли».
По-видимому, это стало возможным благодаря тому, что команда разработчиков Swaprum якобы «обновила обычный контракт с обеспечением ликвидности на контракт, содержащий бэкдор-функции».
3/ The backdoor function add() will transfer LP tokens from the contract to the _devadd address. By querying the _devadd address, it will return the ‘Swaprum:Deployer’ address. pic.twitter.com/Z1rZmFSf5R
— Beosin Alert (@BeosinAlert) May 19, 2023
Поиск по ключевому слову «Swaprum» в Твиттере дает несколько твитов от людей, призывающих аудиторов смарт-контрактов CertiK за все испытание, поскольку фирма провела аудит платформы совсем недавно, 5 мая.
Связанный: Можете ли вы восстановить украденный биткоин от мошенничества с криптовалютой?
Их жалобы, по сути, утверждают, что CertiK подписался на платформе, проведя аудит платформы, а логотип «проверено CertiK» все еще находится на веб-сайте Swaprum.
Well done @CertiK another rug that’s comming from your audits.#swaprum @Swaprum #certik #scam #rug pic.twitter.com/cPlyx3GMU6
— cryptocurrency Emprende YT (@cryptoemprende_) May 18, 2023
Однако стоит отметить, что, согласно заявлению CertiK об отказе от ответственности, он «проводит оценку безопасности исключительно для предоставленного исходного кода» и не может гарантировать, что его рекомендации будут интегрированы. В ходе аудита CertiK отметила «серьезную» проблему, связанную с тем, насколько централизованным был Swaprum.
Хотя также представляется, что обновления смарт-контрактов проекта, связанные с бэкдором, были проведены после завершения аудита.
В нынешнем виде веб-сайт CertiK пометил Swaprum как «мошенничество с выходом».
