Средства клиентов на сумму 3 миллиона долларов были украдены из-за предполагаемого вытягивания коврика Swaprum DEX

Децентрализованная биржа (DEX) Swaprum, основанная на Arbitrum, предположительно провела махинации со своими пользователями, при этом клиентские депозиты на сумму 3 миллиона долларов были украдены с платформы.

Мошенничество с вытягиванием ковра или выходом из строя происходит, когда, казалось бы, законный проект связывает определенную сумму инвестиций или депозитов пользователей, прежде чем быстро закрыть все, вывести капитал и исчезнуть вдали — если они не должным образом заметают свои следы, или курс.

Согласно сообщению от 19 мая из ориентированного на оповещения аккаунта компании Peck Shield, занимающейся безопасностью блокчейнов, злоумышленники похитили 1628 эфиров (ETH) на сумму примерно 2,95 миллиона долларов по текущим ценам из пулов ликвидности Swaprum, перевели их в Ethereum, а затем «отмыли». почти все эти средства через криптомиксер Tornado Cash.

#PeckShieldAler #rugpull @Swaprum на #Arbitrum Rugged ~ 3 миллиона долларов, SAPR упал на 100%. @Swaprum уже удалил свои социальные учетные записи/группы.
Мошенники перевели ~1628 ETH на #Ethereum и отмыли 1620 ETH на Tornado Cash pic.twitter.com/UH8V9RyFHy

— PeckShieldAlert (@PeckShieldAlert) 19 мая 2023 г.

После инцидента все учетные записи Swaprum в Twitter, Telegram и Github были удалены, однако веб-сайт Swaprum все еще работал на момент написания.

Удалены соц. Источник: Твиттер

Добавляя дополнительный контекст к инциденту, компания Beosin, занимающаяся безопасностью блокчейна, заявила, что «развертыватель Swaprum использовал бэкдор-функцию add() для кражи LP. [liquidity provider] токены, поставленные пользователями, а затем удалили ликвидность из пула для получения прибыли».

По-видимому, это стало возможным благодаря тому, что команда разработчиков Swaprum якобы «обновила обычный контракт с обеспечением ликвидности на контракт, содержащий бэкдор-функции».

3/ Функция бэкдора add() будет передавать токены LP из контракта на адрес _devadd. Запросив адрес _devadd, он вернет адрес Swaprum:Deployer. pic.twitter.com/Z1rZmFSf5R

– Оповещение о Беосин (@BeosinAlert) 19 мая 2023 г.

Поиск по ключевому слову «Swaprum» в Твиттере дает несколько твитов от людей, призывающих аудиторов смарт-контрактов CertiK за все испытание, поскольку фирма провела аудит платформы совсем недавно, 5 мая.

Связанный: Можете ли вы восстановить украденный биткойн от мошенничества с криптовалютой?

Их жалобы, по сути, утверждают, что CertiK подписался на платформе, проведя аудит платформы, а логотип «проверено CertiK» все еще находится на веб-сайте Swaprum.

Молодец, @CertiK, еще один коврик, полученный в результате ваших проверок. #swaprum @Swaprum #certik #scam #rug pic.twitter.com/cPlyx3GMU6

— Crypto Emprende YT (@cryptoemprende_) 18 мая 2023 г.

Однако стоит отметить, что, согласно заявлению CertiK об отказе от ответственности, он «проводит оценку безопасности исключительно для предоставленного исходного кода» и не может гарантировать, что его рекомендации будут интегрированы. В ходе аудита CertiK отметила «серьезную» проблему, связанную с тем, насколько централизованным был Swaprum.

Хотя также представляется, что обновления смарт-контрактов проекта, связанные с бэкдором, были проведены после завершения аудита.

В нынешнем виде веб-сайт CertiK пометил Swaprum как «мошенничество с выходом».

Swaprum-аудит. Источник: Сертик

Журнал: Биткойн на 3,4 миллиарда долларов в банке из-под попкорна — история хакера The Silk Road

Источник: Сointеlеgrаph