سرقت ۳ میلیون دلار از دارایی‌ های کاربران در راگ پول صرافی غیرمتمرکز Swaprum

گفته می‌شود که یک صرافی غیرمتمرکز (DEX) مبتنی بر آربیتروم (Arbitrum) به نام Swaprum اقدام به راگ پول بر روی کاربران خود کرده است. در این اقدام سه میلیون دلار از دارایی‌های مشتریان این پلتفرم به سرقت رفته است.

به گزارش والکس و به نقل از cointelegraph، طبق گزارش CoinMarketCap، در صنعت ارزهای دیجیتال، راگ‌ پول (Rug Pull) به نوعی کلاهبرداری اطلاق می‌شود که در آن توسعه‌دهندگان پروژه را ترک کرده و سپس پول سرمایه‌گذاران برداشته و ناپدید می‌شوند (اگر به خوبی ردپای خود را بپوشانند). آنها در این فرآنید همه چیز را به سرعت متوقف می‌کنند. راگ‌ پول‌ها معمولاً در اکوسیستم مالی غیرمتمرکز (DeFi)، به خصوص در صرافی غیرمتمرکز (DEX) رخ می‌دهند، جایی که کلاهبرداران توکنی را ایجاد کرده و آن را در یک DEX لیست می‌کنند، سپس این توکن را با یک رمزارز پرمصرف مانند اتریوم جفت می‌کنند.

بر اساس توییت ۱۹ می حساب شرکت امنیت بلاک چین PeckShield، عوامل این پروژه ۱۶۲۸ اتر به ارزش تقریبی ۲/۹۵ میلیون دلار از استخرهای نقدینگی Swaprum سرقت کردند، آن را به اتریوم پل (بریج) زدند و تقریباً تمام ارزها را از طریق میکسر رمزارزی تورنادو کش (Tornado Cash) شستشو دادند.

پس از وقوع این حادثه، حساب‌های توییتر، تلگرام و گیت‌هاب Swaprum همگی حذف شدند؛ با این حال، وب‌سایت Swaprum در زمان نگارش این متن هنوز فعال است.

به جهت آشکار ساختن جنبه‌های بیشتری از این حادثه، شرکت امنیت بلاک چین دیگری به نام Beosin ادعا کرده که “یکی از عوامل Swaprum از تابع add() backdoor برای دزدیدن توکن‌های تامین نقدینگی (LP) کاربران استفاده کرده و سپس نقدینگی موجود در استخر را برای کسب سود خود خارج کرده است.

این کار به دلیل اینکه تیم توسعه‌دهنده Swaprum ظاهراً “قرارداد پاداش وثیقه‌های نقدینگی معمولی را به قراردادی حاوی توابع مخفی ارتقاء داده بود”، ممکن شد.

اگر کلید واژه “Swaprum” را در توییتر جستجو کنید، به چندین توییت از افرادی برمی‌خورید که شرکت حسابرسی قراردادهای هوشمند CertiK را تگ کرده‌اند. شرکت CertiK اخیراً در تاریخ ۵ ماه می یک حسابرسی از این پلتفرم انجام داده بود.

آنها در توییت‌های خود CertiK را مورد انتقاد قرار داده‌اند، زیرا این شرکت با حسابرسی خود این پلتفرم را تأیید کرده بود و لوگوی “تایید شده توسط CertiK” هنوز هم در وب‌سایت Swaprum قرار دارد.

با این حال، با توجه به سلب مسئولیت‌ CertiK، این شرکت “ارزیابی امنیتی را فقط بر روی کد منبع ارائه شده در هر پلتفرم انجام می‌دهد” و نمی‌تواند تضمین کند که توصیه‌هایش به درستی اجرا شده‌اند. در این حسابرسی، CertiK متوجه یک مشکل “عمده” در میزان تمرکز Swaprum شده و به آن اشاره کرده بود.

همچنین به نظر می‌رسد که ارتقاء‌های مربوط به توابع مخفی قراردادهای هوشمند پروژه، پس از حسابرسی صورت گرفته است.

در حال حاضر، وب‌سایت CertiK، پلتفرم Swaprum را با عنوان “exit scam” معرفی کرده است.