Swaprum - REKT

Swaprum, un DEX implementado en Arbitrum, hizo un rugpull con $3M el jueves.

Si bien se eliminaron la presencia del proyecto en las redes sociales y los repositorios de GitHub, el website de Swaprum permanece activo y muestra con orgullo el sello de aprobación de Certik en su banner.

Este último incidente se produce menos de un mes después de que Merlin DEX hiciera rug con $1,8M, lo que provocó un debate sobre si una auditoría de Certik era más una señal de alerta que una señal de confianza.

Este es el cuarto rugpull de más de $1M que hemos cubierto en lo que va del año, todos ellos supuestamente auditados.

Pero no todas las auditorías son iguales…

¿Cuándo aprenderemos?

Crédito: Beosin

Al igual que con la mayoría de los rugpulls, la mecánica detrás del incidente no fue complicada.

El contrato de recompensa del proyecto se actualizó a una nueva versión que incluía la función backdoor llamado add().

add() envía tokens LP de los usuarios a la dirección del Deployer del equipo, que pudo robar los fondos al drenar la liquidez subyacente.

Dirección del atacante (Swaprum: Deployer): 0xf2744e1fe488748e6a550677670265f664d96627

Example tx: 0x36fef881…

Los fondos fueron traspasados a Ethereum, donde se depositó un total de 1620 ETH en Tornado Cash.

Cabe señalar que el contrato actualizado (malicioso) no se incluyó en la auditoría. Pero la capacidad de actualizar contratos que contienen fondos de usuario a una implementación arbitraria siempre estuvo ahí…

Certik menciona importantes problemas de centralización en el código de Swaprum y señala que el propietario del contrato tiene autoridad sobre ciertos aspectos del protocolo.

Sin embargo, la redacción se refiere principalmente a amenazas externas:

Cualquier compromiso con la cuenta del propietario puede permitir que el hacker se aproveche de esta autoridad...

Si un atacante compromete la cuenta, puede cambiar la implementación del contrato y drenar tokens del contrato.

Dada la reciente reacción violenta, uno pensaría que los auditores podrían hacer un esfuerzo por ser más explícitos sobre el potencial de personas internas maliciosas, reflejando el hecho en la redacción del informe.

Una simple puntuación de "ruggability" contribuiría en gran medida a comunicar estos riesgos en un formato amigable para los degen.

Sin embargo, la idea probablemente no caería bien entre los estafadores que buscan aprobar su último scam.

Desde entonces, Certik ha actualizado la puntuación de seguridad de Swaprum a "Exit Scam".

¿Demasiado poco y demasiado tarde?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.