El proyecto DeFi Swaprum ha desaparecido con fondos de clientes por un total de 3 millones de dólares, en lo que parece ser una operación encubierta, sólo unas semanas después de que CertiK lo auditara. Ahora la gente está señalando con el dedo a CertiK, diciendo que aprobó "otro tirón de alfombra".

La empresa de seguridad PeckShield dijo en Twitter que el dinero estaba en forma de Ethereum y que los "estafadores" utilizaron la popular aplicación de mezcla de monedas Tornado Cash para lavar los fondos.

Swaprum, una plataforma de intercambio descentralizada (DEX) que funciona con la solución de escalado de Ethereum Arbitrum, parece haber eliminado todas sus cuentas en las redes sociales. Su sitio web, que permite a los usuarios intercambiar monedas y tokens digitales sin registrarse, sigue activo.

Un tirón de alfombra se produce cuando un desarrollador lanza un proyecto que parece legítimo, pero luego desaparece con los fondos de los inversionistas. Los protocolos financieros descentralizados—aplicaciones que quieren automatizar lo que hacen los bancos y las casas de bolsa—se ven muy afectados por los hackeos y los tirones de alfombra. Esto se debe a que la esfera es nueva y experimental.

CertiK publicó su auditoría del DEX a principios de este mes, afirmando que no presentaba riesgos críticos, pero sí tres riesgos importantes—entre ellos que el protocolo estaba muy centralizado.

Desde entonces, CertiK ha sido criticada en Twitter por ello. "Como empresa auditora, CertiK es libre de elegir con quién hace negocios", escribió Mikko Ohtamaa, cofundador de TradingStrategy.ai.

"CertiK tomó una decisión comercial deliberada al aprobar otro tirón de alfombra".

Pero CertiK se ha opuesto, diciendo que una auditoría no garantiza que un equipo haya realizado todos los cambios que recomendó.

"Como auditor, no podemos obligar a los proyectos a aplicar nuestras recomendaciones, pero podemos señalar clara y públicamente las vulnerabilidades que encontramos", dijo un portavoz de CertiK a Decrypt. "Así lo hicimos con Swaprum, y el informe de auditoría es de libre acceso en nuestro sitio web".

La empresa continuó explicando cómo cree que se explotó Swaprum, diciendo que una parte del código se sustituyó por código malicioso después de que se auditara el contrato inteligente.

"En lugar de manipular el contrato MasterChef auditado, el implementador lo sustituyó por un contrato malicioso no auditado para llevar a cabo el robo", dijo la empresa. "La vulnerabilidad se deriva de la capacidad de actualización del proxy (que señalamos como una vulnerabilidad importante), más que de un problema con el contrato inteligente que auditamos".

El mes pasado, otra DEX auditada por CertiK, Merlin, basada en zkSync, fue despojada de unos 1,82 millones de dólares. CertiK culpó del ataque a Merlin a "desarrolladores deshonestos".

En una publicación en Twitter, CertiK dijo que "las investigaciones iniciales indican que los desarrolladores deshonestos tienen su base en Europa, y estamos trabajando con las fuerzas de seguridad para localizarlos", y les instó a aceptar una recompensa de sombrero blanco del 20%. La propia Merlin acusó a "varios miembros del equipo de Back-End" de vaciar sus contratos en una publicación de Twitter.

Nota del editor: Este post se ha actualizado para incluir comentarios de CertiK.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.