Разработчики DeFi-протокола Swaprum исчезли с клиентскими средствами на общую сумму $3 млн всего через несколько недель после того, как он был проверен одним из самых известных в криптоиндустрии аудитором CertiK. Специализирующаяся на блокчейн-безопасности компания PeckShield сообщила в «Твиттере», что команда проекта регулярно использовала криптовалютный миксер Tornado Cash для отмывания средств.
Сразу после инцидента Swaprum удалил все аккаунты в социальных сетях. Однако веб-сайт проекта, который позволяет пользователям обменивать цифровые монеты и токены без регистрации, остается активным.
Криптоэнтузиасты критикуют CertiK
CertiK опубликовал свой аудит Swaprum в начале мая, заявив, что у протокола нет критических рисков. Действия компании закономерно вызвали недовольство криптоэнтузиастов – участники сообщества обрушились на аудитора с критикой и обвинили его в «сознательном решении одобрить очередной rug pull». rug pull — вид криптомошенничества, при котором промоутеры криптовалюты пампят новую монету, чтобы повысить ее цену, после чего исчезают вместе со средствами пользователей. Инвесторы же остаются с бесполезным токеном, который не имеет фундаментальных показателей и будущего. Представители CertiK поспешили ответить на претензии пользователей. Фирма заявила, что аудит не является гарантией того, что команда внесла все рекомендованные изменения. По мнению специалистов, часть кода Swaprum была заменена на вредоносный код после аудита смарт-контракта.«Вместо того, чтобы манипулировать проверенным контрактом MasterChef, разработчики заменили его непроверенным вредоносным контрактом, чтобы осуществить rug pull», — заявили в CertiK. «Уязвимость связана с возможностью обновления прокси, а не с проблемой смарт-контракта, который мы проверяли».
Напомним, в прошлом месяце из другого проверенного CertiK DeFi-протокола Merlin, который работает на базе ZkSync, было выведено около $1,82 млн. Аудитор обвинил в атаке «недобросовестных разработчиков».