کلاهبرداری یک صرافی ارزهای دیجیتال / ۳ میلیون دلار به باد رفت

شرکت امنیت بلاکچین پک‌شیلد (PeckShield) روز جمعه این کلاهبرداری کشف کرد. در این کلاهبرداری، تیم Swaprum نقدینگی موجود در استخرها را در ازای اتریوم (ETH) فروخت که منجر به سقوط قابل‌توجه قیمت توکن‌ Swaprum با نماد اختصاری SAPR شد. در نتیجه این اقدام، توکن‌های باقی‌مانده که توسط سرمایه‌گذاران – که از کلاهبرداری بی‌اطلاع بودند – نگهداری می‌شدند، کاملاً بی‌ارزش شدند.

طبق گزارش‌ها، در این کلاهبرداری راگ پول (Rug Pull)، تقریباً ۱،۶۲۸ اتریوم به ارزش تقریبی ۳ میلیون دلار از سپرده‌های کاربران به سرقت رفت. تیم Swaprum بعداً وجوه را به اتریوم انتقال داد و سپس، نسبت به شستشوی آنها از طریق سرویس میکسر Tornado Cash اقدام کرد.

تیم Swaprum ردپای خود در دنیای آنلاین را نیز یک‌ شبه پاک کرد. این تیم پروفایل‌های خود را در رسانه‌های اجتماعی، از جمله توییتر، تلگرام و گیت هاب حذف کرده، ولی وبسایت رسمی پروژه هنوز فعال است.

در تحقیقات بعدی، کارشناسان امنیتی شرکت Beosin متوجه شدند که قرارداد هوشمند استفاده‌شده توسط Swaprum، حاوی یک درب پشتی مخفی بوده است. به گفته آنها، توسعه‌دهنده Swaprum از تابع add() backdoor برای سرقت توکن‌های تأمین نقدینگی استیک‌شده توسط کاربران استفاده کرده و سپس، نقدینگی را از استخر برداشت کرده است.

به دنبال انتشار این اخبار، شرکت امنیتی سرتیک (CertiK) با انتقادات بسیاری مواجه شد؛ چراکه ممیزی امنیتی Swaprum را این شرکت انجام داده بود. لازم به ذکر است که آرم «ممیزی‌شده توسط CertiK» هنوز در وبسایت Swaprum وجود دارد. با این حال، شایان ذکر است که طبق سلب مسئولیت سرتیک، این شرکت «بررسی‌های امنیتی را منحصراً بر روی کد منبع ارائه‌شده انجام می‌دهد.» بنابراین، ممکن است ارتقاهای مربوط به درب پشتی قرارداد هوشمند پروژه، پس از تکمیل ممیزی انجام شده باشند.

در حال حاضر، وبسایت سرتیک، پروژه Swaprum را به عنوان «کلاهبرداری خروج- exit scam» علامت‌گذاری کرده است.