سرقت ۳ میلیون دلار از دارایی های کاربران در راگ پول صرافی غیرمتمرکز Swaprum
گفته میشود که یک صرافی غیرمتمرکز (DEX) مبتنی بر آربیتروم (Arbitrum) به نام Swaprum اقدام به راگ پول بر روی کاربران خود کرده است. در این اقدام سه میلیون دلار از داراییهای مشتریان این پلتفرم به سرقت رفته است.
به گزارش والکس و به نقل از cointelegraph، طبق گزارش CoinMarketCap، در صنعت ارزهای دیجیتال، راگ پول (Rug Pull) به نوعی کلاهبرداری اطلاق میشود که در آن توسعهدهندگان پروژه را ترک کرده و سپس پول سرمایهگذاران برداشته و ناپدید میشوند (اگر به خوبی ردپای خود را بپوشانند). آنها در این فرآنید همه چیز را به سرعت متوقف میکنند. راگ پولها معمولاً در اکوسیستم مالی غیرمتمرکز (DeFi)، به خصوص در صرافی غیرمتمرکز (DEX) رخ میدهند، جایی که کلاهبرداران توکنی را ایجاد کرده و آن را در یک DEX لیست میکنند، سپس این توکن را با یک رمزارز پرمصرف مانند اتریوم جفت میکنند.
بر اساس توییت ۱۹ می حساب شرکت امنیت بلاک چین PeckShield، عوامل این پروژه ۱۶۲۸ اتر به ارزش تقریبی ۲/۹۵ میلیون دلار از استخرهای نقدینگی Swaprum سرقت کردند، آن را به اتریوم پل (بریج) زدند و تقریباً تمام ارزها را از طریق میکسر رمزارزی تورنادو کش (Tornado Cash) شستشو دادند.
پس از وقوع این حادثه، حسابهای توییتر، تلگرام و گیتهاب Swaprum همگی حذف شدند؛ با این حال، وبسایت Swaprum در زمان نگارش این متن هنوز فعال است.
به جهت آشکار ساختن جنبههای بیشتری از این حادثه، شرکت امنیت بلاک چین دیگری به نام Beosin ادعا کرده که “یکی از عوامل Swaprum از تابع add() backdoor برای دزدیدن توکنهای تامین نقدینگی (LP) کاربران استفاده کرده و سپس نقدینگی موجود در استخر را برای کسب سود خود خارج کرده است.
این کار به دلیل اینکه تیم توسعهدهنده Swaprum ظاهراً “قرارداد پاداش وثیقههای نقدینگی معمولی را به قراردادی حاوی توابع مخفی ارتقاء داده بود”، ممکن شد.
اگر کلید واژه “Swaprum” را در توییتر جستجو کنید، به چندین توییت از افرادی برمیخورید که شرکت حسابرسی قراردادهای هوشمند CertiK را تگ کردهاند. شرکت CertiK اخیراً در تاریخ ۵ ماه می یک حسابرسی از این پلتفرم انجام داده بود.
آنها در توییتهای خود CertiK را مورد انتقاد قرار دادهاند، زیرا این شرکت با حسابرسی خود این پلتفرم را تأیید کرده بود و لوگوی “تایید شده توسط CertiK” هنوز هم در وبسایت Swaprum قرار دارد.
با این حال، با توجه به سلب مسئولیت CertiK، این شرکت “ارزیابی امنیتی را فقط بر روی کد منبع ارائه شده در هر پلتفرم انجام میدهد” و نمیتواند تضمین کند که توصیههایش به درستی اجرا شدهاند. در این حسابرسی، CertiK متوجه یک مشکل “عمده” در میزان تمرکز Swaprum شده و به آن اشاره کرده بود.
همچنین به نظر میرسد که ارتقاءهای مربوط به توابع مخفی قراردادهای هوشمند پروژه، پس از حسابرسی صورت گرفته است.
در حال حاضر، وبسایت CertiK، پلتفرم Swaprum را با عنوان “exit scam” معرفی کرده است.
