Арбитражная децентрализованная биржа (DEX) Swaprum предположительно совершила кражу своих пользователей: с платформы были похищены депозиты клиентов на сумму $3 млн.

Мошенничество с вытягиванием на ковер или выходом из проекта происходит, когда кажущийся законным проект привлекает определенную сумму инвестиций или пользовательских вкладов, а затем быстро все закрывает, выводит капитал и исчезает вдали - если, конечно, они не успели должным образом замести следы.

Согласно твиту от 19 мая с аккаунта фирмы Peck Shield, специализирующейся на безопасности блокчейна, недобросовестные участники похитили 1 628 Ether (ETH) - стоимостью около 2,95 млн долларов по текущим ценам - из пулов ликвидности Swaprum, перевели их в Ethereum, а затем "отмыли" почти все эти средства через криптомикшер Tornado Cash.

#PeckShieldAler #rugpull @Swaprum на #Arbitrum rugged ~$3M, $SAPR упал на -100%. @Swaprum уже удалил свои социальные аккаунты/группы.
Мошенники перевели ~1,628 $ETH в #Ethereum и отмыли 1,620 $ETH в Tornado Cashhttps://t.co/tUNgbwGQCd pic.Twitter.com/UH8V9RyFHy

- PeckShieldAlert (@PeckShieldAlert) 19 мая 2023 г.

После инцидента аккаунты Swaprum в Twitter, Telegram и Github были удалены, однако на момент написания статьи сайт Swaprum продолжал работать.

Удаленные социальные сети. Источник: Twitter
Удаленные социальные сети. Источник: Twitter

Добавляя дополнительный контекст к инциденту, компания Beosin, специализирующаяся на безопасности блокчейна, заявила, что "разработчик Swaprum использовал функцию add() для кражи токенов LP [поставщика ликвидности], поставленных пользователями, а затем удалил ликвидность из пула с целью получения прибыли".

Это стало возможным благодаря тому, что команда разработчиков Swaprum якобы "модернизировала обычный контракт на вознаграждение за обеспечение ликвидности в контракт, содержащий бэкдор-функции".

3/ Бэкдор-функция add() будет передавать токены LP из контракта на адрес _devadd. Запрос к адресу _devadd возвращает адрес `Swaprum:Deployer`. pic.twitter.com/Z1rZmFSf5R

- Beosin Alert (@BeosinAlert) 19 мая 2023 г.

Поиск по ключевому слову "Swaprum" в Twitter дает несколько твитов от людей, называющих аудиторов смарт-контрактов CertiK виновными во всей этой истории, поскольку эта фирма провела аудит платформы еще 5 мая.

В их жалобах, по сути, утверждается, что CertiK подписала платформу, проведя ее аудит, при этом логотип "проверено CertiK" до сих пор размещен на сайте Swaprum.

Отличная работа @CertiK еще один ковер, полученный в результате ваших проверок.#swaprum @Swaprum #certik #scam #rug pic.twitter.com/cPlyx3GMU6

- Crypto Emprende YT (@cryptoemprende_) 18 мая 2023 г.

Однако стоит отметить, что согласно заявлениям CertiK, она "проводит оценку безопасности исключительно на предоставленном исходном коде" и не может гарантировать, что ее рекомендации интегрированы. В ходе аудита CertiK отметила "серьезную" проблему централизации Swaprum.

В то же время, похоже, что связанные с бэкдором обновления смарт-контрактов проекта были проведены уже после завершения аудита.

В настоящее время сайт CertiK пометил Swaprum как "мошенничество с выходом".

Аудит Swaprum. Источник: CertiK
Аудит Swaprum. Источник: CertiK

Журнал: $3,4 млрд биткоина в банке из-под попкорна - история хакера Silk Road

Источник