Dans le monde tumultueux des échanges décentralisés, une nouvelle affaire vient miner la confiance des investisseurs. Swaprum, une plateforme d’échange décentralisée fonctionnant sur le réseau Arbitrum, semble avoir disparu avec des dépôts d’utilisateurs estimés à 3 millions de dollars.
L’équipe de Swaprum s’enfuit avec la caisse : 1628 ETH subtilisés aux utilisateurs
L’alerte a été donnée hier matin quand les développeurs de Swaprum ont fermé leur site web et supprimé leur compte Twitter. Il n’en fallait pas plus pour déclencher une analyse on-chain de la firme de sécurité PeckShield, vigile de la blockchain.
Très rapidement, celle-ci a identifié qu’environ 1 628 ETH, soit l’équivalent de 3 millions de dollars, ont été subtilisés des pools de liquidités de Swaprum. Cette opération est communément appelée “rug pull” ou “arnaque à la sortie”.
L’équipe de Swaprum a retiré les liquidités apportées par les utilisateurs à sa plateforme, qui étaient récompensées dans son jeton natif, le SAPR. Elle a ensuite échangé les jetons contre des ETH. Cela a entraîné une chute brutale du cours du jeton Swaprum (SAPR), rendant les jetons restants détenus par les investisseurs pratiquement sans valeur.
Les fonds volés ont été blanchis via Tornado Cash
Les fonds ont ensuite été transférés du réseau Arbitrum vers Ethereum. Les Ethers volés ont été blanchis par le biais de Tornado Cash, un outil Ethereum désormais bien connu. C’est l’outil favori des crypto-criminels pour brouiller leurs pistes, en empêchant (ou du moins retardant) les enquêteurs de dérouler les flux de fonds.
Toute la façade numérique de Swaprum a disparu du jour au lendemain. Leurs comptes sur les réseaux sociaux ont été supprimés : Twitter, Telegram et GitHub. Le site officiel, qui permettait d’accéder au protocole avec son wallet, reste cependant actif. Aucun commentaire n’a pu être obtenu de la part des développeurs.
Les analystes de sécurité de Beosin ont découvert que le contrat intelligent de Swaprum contenait depuis le début une porte dérobée. Beosin écrit ainsi : “Le déployeur de Swaprum a utilisé la fonction de porte dérobée add() pour voler les jetons LP mis en jeu par les utilisateurs, puis a retiré la liquidité du pool pour empocher l’intégralité des profits”. Cette porte dérobée a permis aux arnaqueurs de prendre le contrôle des actifs à leur guise le moment venu.
C’est la dernière arnaque à la sortie qui a refait surface dans l’écosystème Ethereum Layer 2. Le mois dernier, les développeurs d’un échange décentralisé sur le réseau zkSync, connu sous le nom de Merlin, ont disparu avec près de 2 millions de dollars dans un cas similaire.
Sources : The Block, Peckshield, Beosin
Sur le même sujet :
- zkSync : un hack de 1.82 million de dollars sur le DEX Merlin
- Entre hacks de clés privées et scam tokens, les 5 types de piratage qui ont coûté des fortunes aux investisseurs en 2022
Share
David Ville
