شرکت امنیت بلاکچین پکشیلد (PeckShield) روز جمعه این کلاهبرداری کشف کرد. در این کلاهبرداری، تیم Swaprum نقدینگی موجود در استخرها را در ازای اتریوم (ETH) فروخت که منجر به سقوط قابلتوجه قیمت توکن Swaprum با نماد اختصاری SAPR شد. در نتیجه این اقدام، توکنهای باقیمانده که توسط سرمایهگذاران – که از کلاهبرداری بیاطلاع بودند – نگهداری میشدند، کاملاً بیارزش شدند.
طبق گزارشها، در این کلاهبرداری راگ پول (Rug Pull)، تقریباً ۱،۶۲۸ اتریوم به ارزش تقریبی ۳ میلیون دلار از سپردههای کاربران به سرقت رفت. تیم Swaprum بعداً وجوه را به اتریوم انتقال داد و سپس، نسبت به شستشوی آنها از طریق سرویس میکسر Tornado Cash اقدام کرد.
تیم Swaprum ردپای خود در دنیای آنلاین را نیز یک شبه پاک کرد. این تیم پروفایلهای خود را در رسانههای اجتماعی، از جمله توییتر، تلگرام و گیت هاب حذف کرده، ولی وبسایت رسمی پروژه هنوز فعال است.
در تحقیقات بعدی، کارشناسان امنیتی شرکت Beosin متوجه شدند که قرارداد هوشمند استفادهشده توسط Swaprum، حاوی یک درب پشتی مخفی بوده است. به گفته آنها، توسعهدهنده Swaprum از تابع add() backdoor برای سرقت توکنهای تأمین نقدینگی استیکشده توسط کاربران استفاده کرده و سپس، نقدینگی را از استخر برداشت کرده است.
به دنبال انتشار این اخبار، شرکت امنیتی سرتیک (CertiK) با انتقادات بسیاری مواجه شد؛ چراکه ممیزی امنیتی Swaprum را این شرکت انجام داده بود. لازم به ذکر است که آرم «ممیزیشده توسط CertiK» هنوز در وبسایت Swaprum وجود دارد. با این حال، شایان ذکر است که طبق سلب مسئولیت سرتیک، این شرکت «بررسیهای امنیتی را منحصراً بر روی کد منبع ارائهشده انجام میدهد.» بنابراین، ممکن است ارتقاهای مربوط به درب پشتی قرارداد هوشمند پروژه، پس از تکمیل ممیزی انجام شده باشند.
در حال حاضر، وبسایت سرتیک، پروژه Swaprum را به عنوان «کلاهبرداری خروج- exit scam» علامتگذاری کرده است.