A empresa de segurança, PeckShield, relatou um possível ataque de puxada de tapete, também chamado de ‘rug pull’, cometido pela exchange descentralizada (DEX) Swaprum.
De acordo com as informações, a DEX zerou os pools de liquidez furtando os clientes e excluiu suas contas em redes sociais.
As análises na rede Arbitrum mostraram que no dia 18 de maio a equipe da DEX Swaprum retirou todos os depósitos dos clientes, em valor estimado de 1.628 Ethers (ETH), o que equivale a cerca de US$ 3 milhões.
DEX Swaprum aplicou golpe de puxada de tapete
O PeckShield Alert relatou que a equipe da DEX Swaprum retirou os fundos através de uma ponte da rede Arbitrum para a rede Ethereum. Depois disto, os enviou ao misturador Tornado Cash, ocultando assim os rastros do furto de cerca de US$ 3 milhões em criptoativos.
Segundo outra empresa de segurança blockchain, a Beosin, os desenvolvedores da DEX Swaprum usaram a função backdoor add() para furtar os tokens LP apostados pelos usuários e, em seguida, removeram a liquidez da pool para obter lucro.
A Beosin disse que as pegadas digitais da Swaprum praticamente desapareceram da noite para o dia, com contas de mídia social do Twitter, Telegram e GitHub sendo excluídas.
Apesar disto, a página da web da DEX Swaprum estava ativa no momento desta redação, e foi possível conectar a carteira ao acessar o site.
No mkesmo dia, porém antes de ser confirmado um ataque de puxada de tapete, a Beosin tinha identificado uma vulnerabilidade crítica na ‘biblioteca do SnarkJS’.
A SnarkJS é uma biblioteca JavaScript de código aberto para construção de provas de conhecimento zero, amplamente utilizada na implementação e otimização do zk-SNARK.
O curioso neste caso, é que supostamente a DEX Swaprum havia sido auditada pela empresa Certik. Isto apenas mostra que a certificação pode ter sido fraudada, ou que tais certificações não atestam legitimidade da empresa.
