" Децентрализованная биржа (DEX) Swaprum, основанная на Arbitrum (ARB), предположительно обманула своих пользователей, при этом клиентские депозиты на сумму 3 миллиона долларов были украдены с платформы.
Мошенничество с выходом или вытягивание ковра происходит, когда, казалось бы, законный проект собирает определенную сумму инвестиций или депозитов пользователей, прежде чем быстро закрыть все, вывести капитал и исчезнуть вдали - пытаясь должным образом замести следы.
Согласно сообщению от 19 мая из ориентированного на оповещения аккаунта компании Peck Shield, занимающейся безопасностью блокчейнов, злоумышленники похитили 1628 эфиров (ETH) на сумму примерно 2,95 миллиона долларов по текущим ценам из пулов ликвидности Swaprum, перевели их в Ethereum, а затем «отмыли» почти все эти средства через криптомиксер Tornado Cash.
После инцидента учетные записи Swaprum в Twitter, Telegram и Github были удалены, однако веб-сайт Swaprum все еще работал на момент написания.
Добавляя дополнительный контекст к инциденту, специалист по безопасности блокчейна Beosin заявил, что «развертыватель Swaprum использовал бэкдор-функцию add() для кражи токенов LP (поставщика ликвидности), поставленных пользователями, а затем удалил ликвидность из пула для получения прибыли».
По-видимому, это стало возможным благодаря тому, что команда разработчиков Swaprum якобы «обновила обычный контракт с обеспечением ликвидности на контракт, содержащий бэкдор-функции».
Поиск по ключевому слову «Swaprum» в Твиттере дает несколько твитов от людей, отмечающих аудиторов смарт-контрактов CertiK за все испытание, поскольку фирма провела аудит платформы совсем недавно, 5 мая.
Их жалобы, по сути, утверждают, что CertiK подписался на платформе, проведя аудит платформы, а логотип «проверено CertiK» все еще находится на веб-сайте Swaprum.
«Молодец, CertiK, еще один коврик, полученный в результате ваших проверок», – пишет Crypto Emprende YT (@cryptoemprende_) 18 мая 2023 г.
Однако стоит отметить, что, согласно заявлению CertiK об отказе от ответственности, он «проводит оценку безопасности исключительно для предоставленного исходного кода» и не может гарантировать, что его рекомендации будут интегрированы. В ходе аудита CertiK отметила «серьезную» проблему, связанную с тем, насколько централизованным был Swaprum.
Хотя также представляется, что обновления смарт-контрактов проекта, связанные с бэкдором, были проведены после завершения аудита.
В нынешнем виде веб-сайт CertiK пометил Swaprum как Exit Scam – «мошенничество с выходом».
Аудит Swaprum. Источник: CertiK.
