مشروع آخر مدقق من CertiK حيث يختفي 3 ملايين دولار
مشروع آخر مدقق من CertiK حيث يختفي 3 ملايين دولار من Arbitrum DeFi Exchange حيث اختفى مشروع DeFi Swaprum بأموال العملاء التي بلغ مجموعها 3 ملايين دولار فيما يبدو أنه سحب بساط ، بعد أسابيع فقط من تدقيقه من قبل CertiK. الآن يشير الناس بأصابع الاتهام إلى CertiK ، قائلين إنها وافقت على “سحب بساط آخر”.
وقالت شركة الأمن PeckShield على تويتر إن الأموال كانت في شكل Ethereum وأن “المحتالين” استخدموا تطبيق خلط العملات الشهير Tornado Cash لغسل الأموال.
يبدو أن Swaprum ، وهي بورصة لامركزية (DEX) تعمل على حل تحجيم Ethereum Arbitrum ، قد حذفت الآن جميع حساباتها على وسائل التواصل الاجتماعي. لا يزال موقعها على الويب ، الذي يسمح للمستخدمين بمبادلة العملات الرقمية والرموز دون تسجيل ، نشطا.
يحدث سحب البساط عندما يطلق مطور مشروعا يبدو شرعيا ولكنه يختفي بعد ذلك بأموال المستثمرين. بروتوكولات التمويل اللامركزية – التطبيقات التي تريد أتمتة ما تفعله البنوك وشركات السمسرة – تتضرر بشدة من الاختراقات وسحب البساط. وذلك لأن الكرة جديدة وتجريبية.
نشرت CertiK تدقيقها ل DEX في وقت سابق من هذا الشهر ، قائلة إنه ليس لديها مخاطر حرجة ولكن ثلاثة مخاطر رئيسية – بما في ذلك أن البروتوكول كان مركزيا بشكل كبير.
تم انتقاد CertiK منذ ذلك الحين على Twitter نتيجة لذلك. “كشركة تدقيق [كذا] ، فإن CertiK حرة في اختيار من تتعامل معه” ، كتب المؤسس المشارك TradingStrategy.ai ميكو أوهتاما.
“اتخذت CertiK قرارا تجاريا متعمدا بالموافقة على سحب سجادة أخرى.”
لكن CertiK تراجعت ، قائلة إن التدقيق ليس ضمانا بأن الفريق قد أجرى جميع التغييرات التي أوصى بها.
“بصفتنا مدققا ، لا يمكننا إجبار المشاريع على تنفيذ توصياتنا ، ولكن يمكننا أن نذكر بوضوح وعلنا نقاط الضعف حيث نجدها ،” قال متحدث باسم CertiK ل Decrypt. “لقد فعلنا ذلك مع Swaprum ، ويمكن الوصول إلى تقرير التدقيق مجانا على موقعنا.”
ومضت الشركة في شرح كيف تعتقد أن Swaprum قد تم استغلالها ، قائلة إنه تم استبدال جزء من الكود برمز ضار بعد تدقيق العقد الذكي.
وقالت الشركة: “بدلا من التلاعب بعقد MasterChef المدقق ، استبدله الناشر بعقد ضار غير مدقق من أجل تنفيذ عملية سحب السجاد”. “تنبع الثغرة الأمنية من قابلية ترقية الوكيل (التي أطلقنا عليها كنقطة ضعف رئيسية) ، بدلا من مشكلة في العقد الذكي الذي قمنا بتدقيقه.”
في الشهر الماضي فقط ، تم استنزاف DEX آخر تم تدقيقه من قبل CertiK ، Merlin القائم على zkSync ، بحوالي 1.82 مليون دولار. ألقى CertiK باللوم في هجوم Merlin على “المطورين المارقين”.
في منشور على التغريد، قال CertiK إن “التحقيقات الأولية تشير إلى أن المطورين المارقين يتمركزون في أوروبا ، ونحن نعمل مع سلطات إنفاذ القانون لتعقبهم” ، و حثهم لقبول مكافأة قبعة بيضاء بنسبة 20٪. اتهمت ميرلين نفسها “العديد من أعضاء فريق Back-End” باستنزاف عقودها في منشور تويتر.
