Le secteur de la DeFi est un terrain tout à fait propice aux arnaques de type exit scam. Car cet écosystème pullule de nouveaux projets en tout genre, en particulier sur les réseaux portés par une popularité souvent éphémère. Et c’est très exactement le cas du layer 2 Arbitrum depuis son airdrop providentiel à l’origine d’une hausse tout à fait artificielle de ses utilisateurs et, de ce fait, de son activité.
Et comme à chaque fois dans ce genre de cas d’euphorie communautaire de nombreux nouveaux projets apparaissent avec des promesses de rendements toujours plus folles. L’occasion de réaliser de belles performances, sur une durée souvent assez courte. Mais également de tomber dans l’un de ces nombreux pièges de type rug pulls, parfois tellement bien ficelés qu’il finissent par devenir des « soft rugs » tout aussi dangereux. Dernières victimes en date : les investisseurs du projet Swaprum DEX.
Swaprum – Un exit scam à 3 millions de dollars
Le graphique de la cryptomonnaie SAPR parle de lui-même. Ce dernier publié il y a tout juste quelques heures sur le compte d’alerte Twitter de la structure de cybersécurité PeckShield. Avec un prix en chute libre et vertigineuse qui aurait déjà perdu 100% de sa valeur, précédemment fixée à 0,165$. En cause, une opération de rug pull tout à fait classique dont le préjudice est estimée à 3 millions de dollars.
« Swaprum sur Arbitrum victime d’un rug pull à hauteur de ~3 millions de dollars. Le SAPR a chuté de -100%. Swaprum a déjà supprimé ses comptes et groupes sociaux. Les escrocs ont détourné ~1628 ETH et blanchi 1620 ETH sur Tornado Cash. »
En effet, les indices d’une activité frauduleuse sont nombreux. Avec en premier lieu la fermeture simultanée de tous les comptes de réseaux sociaux affiliés au DEX Swaprum. Mais également le transfert de quelques 1620 ETH vers le mixeur Tornado Cash tout spécialement dédié au réseau Ethereum. Des fonds détournés de différents pools de liquidité de cette plateforme décentralisée visiblement construite comme un panier (volontairement) percé sur le layer 2 Arbitrum.
Car les recherches menées par une autre structure de sécurité nommée Beosin démontrent qu’une porte dérobée avait bien été cachée dans le code de ce protocole. Une autre preuve, s’il en fallait encore, que cette opération avait été préméditée depuis le début par les développeurs de ce DEX. Et cette fonctionnalité leur a donc permis de se servir sans aucune limite dans les pools de liquidité à disposition, dépouillant ainsi tous leurs utilisateurs en possession de jetons déposés en staking.
-
HACKS & SÉCURITÉ1inch : un exploit TrustedVolumes vide 5,9 M$ en ETH et BTC
