Échange décentralisé basé sur Arbitrum (DEX) Swaprum aurait procédé à une traction sur ses utilisateurs, avec des dépôts de clients d’une valeur de 3 millions de dollars prélevés sur la plate-forme.
Une escroquerie de tapis ou de sortie se produit lorsqu’un projet apparemment légitime s’engage dans une certaine quantité d’investissements ou de dépôts d’utilisateurs avant de tout fermer rapidement, de retirer le capital et de disparaître au loin – s’ils ne couvrent pas correctement leurs traces, de cours.
Selon le tweet du 19 mai du compte axé sur les alertes de la société de sécurité blockchain Peck Shield, les mauvais acteurs ont piraté 1 628 Ether (ETH) – d’une valeur d’environ 2,95 millions de dollars aux prix actuels – des pools de liquidités de Swaprum, l’ont relié à Ethereum, puis « blanchis ». » presque tous ces fonds via le mélangeur crypto Tornado Cash.
#PeckShieldAler #rugpull @Swaprum sur #Arbitrum robuste ~ 3 millions de dollars, $SAPR a baissé de -100%. @Swaprum déjà supprimé ses comptes/groupes sociaux.
Les escrocs ont comblé ~1 628 $ETH pour #Ethereum et blanchi 1 620 $ETH à Tornado Cashhttps://t.co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy– PeckShieldAlert (@PeckShieldAlert) 19 mai 2023
Suite à l’incident, les comptes Twitter, Telegram et Github de Swaprum ont tous été supprimés, mais le site Web de Swaprum est toujours opérationnel au moment de la rédaction.
Ajoutant un contexte supplémentaire à l’incident, Beosin, une autre société de sécurité blockchain, a affirmé que « le déployeur de Swaprum a utilisé la fonction de porte dérobée add() pour voler LP [liquidity provider] des jetons jalonnés par les utilisateurs, puis ont retiré des liquidités du pool à des fins lucratives.
Cela a apparemment été rendu possible grâce au fait que l’équipe de développeurs de Swaprum aurait « mis à niveau le contrat de récompense de garantie de liquidité normal en un contrat contenant des fonctions de porte dérobée ».
3/ La fonction de porte dérobée add() transférera les jetons LP du contrat vers l’adresse _devadd. En interrogeant l’adresse _devadd, il renverra l’adresse ‘Swaprum:Deployer’. pic.twitter.com/Z1rZmFSf5R
— Alerte Beosin (@BeosinAlert) 19 mai 2023
Une recherche par mot-clé pour « Swaprum » sur Twitter donne plusieurs tweets de personnes appelant les auditeurs de contrats intelligents CertiK sur toute l’épreuve, car l’entreprise avait effectué un audit de la plate-forme aussi récemment que le 5 mai.
En rapport: Pouvez-vous récupérer des Bitcoins volés à partir d’escroqueries cryptographiques ?
Leurs plaintes affirment essentiellement que CertiK a signé sur la plate-forme en auditant la plate-forme, avec le logo « audité par CertiK » toujours actuellement sur le site Swaprum.
Bien joué @CertiK un autre tapis qui vient de vos audits.#swaprum @Swaprum #certik #escroquer #tapis pic.twitter.com/cPlyx3GMU6
— Crypto Emprende YT (@cryptoemprende_) 18 mai 2023
Cependant, il convient de noter que, conformément aux clauses de non-responsabilité de CertiK, il « effectue des évaluations de sécurité sur le code source fourni exclusivement » et ne peut garantir que ses recommandations sont intégrées. Lors de l’audit, CertiK a signalé un problème « majeur » avec la centralisation de Swaprum.
Bien qu’il semble également que les mises à niveau liées aux portes dérobées des contrats intelligents du projet aient été effectuées après la fin de l’audit.
Dans l’état actuel des choses, le site Web de CertiK a maintenant signalé Swaprum comme une « arnaque à la sortie ».
Magazine: 3,4 milliards de dollars de Bitcoin dans une boîte de pop-corn – L’histoire du hacker de Silk Road