Swaprum Backdoor-Rug-Pull

Am 19. Mai 2023 führte die Arbitrum-DEX Swaprum — ein Fork von Arbiswap — einen 3-Millionen-Dollar-Rug-Pull aus, indem sie eine versteckte Backdoor in einem upgradeable Proxy-Vertrag ausnutzte. Die Verträge waren auditiert worden; die Backdoor wurde nach dem Audit über den Upgrade-Mechanismus des Proxys eingeführt. Das Team entzog LP-Staking-Einlagen und wusch die Erlöse über Tornado Cash, bevor es seine Social-Media-Präsenz löschte.

Was geschah

Swaprum präsentierte sich als legitime DEX mit Staking-Belohnungen für Liquiditätsanbieter. Es hatte ein Audit und die üblichen Vertrauenssignale. Die technische Struktur des Rugs:

1. Swaprums Staking-Verträge waren hinter einem upgradeable Proxy.
2. Die auditierte Version der Verträge war sauber — was Nutzer und das Audit überprüften.
3. Nach dem Audit nutzte das Team den Upgrade-Mechanismus des Proxys, um eine neue Implementierung mit einer versteckten Backdoor zu deployen: eine add()-Funktion, die trotz ihres unauffälligen Namens dem Vertragsbesitzer erlaubte, gestakte LP-Token aus dem Protokoll zu entziehen.
4. Am 19. Mai rief das Team die Backdoor-Funktion auf, entzog rund 3 Mio. $ in gestakten LP-Positionen.
5. Entfernte Liquidität, tauschte in ETH, brückte von Arbitrum weg und deponierte in Tornado Cash.
6. Löschte Website, Twitter, Telegram und GitHub — der Standard-Abschlusszug eines Exit-Scams.

Nachwirkungen

• Keine Wiederherstellung — der Rug war so strukturiert, dass das Team jeden Exit-Pfad kontrollierte.
• Der „auditierte" Status zog erneute Aufmerksamkeit auf die Lücke zwischen „Der auditierte Vertrag ist sicher" und „Der deployte-und-dann-upgradete Vertrag ist sicher".
• Swaprum reihte sich in die lange 2022-2023-Liste auditierter Arbitrum-Ökosystem-Rug-Pulls ein.

Warum es zählt

Swaprum ist eine der saubersten Demonstrationen des Upgradeable-Proxy-Rug-Musters — unterschieden vom einfacheren „Team hatte privilegierte Mint-Autorität"-Rug (Arbix Finance), weil der bösartige Code zum Audit-Zeitpunkt nicht existierte. Das Audit war in einem engen Sinne genau: Die Verträge, die es überprüfte, waren sauber. Die Backdoor wurde danach über den legitimen Proxy-Upgrade-Mechanismus eingeführt, den das Audit nicht antizipieren konnte.

Die strukturellen Lehren:

1. Ein Audit ist eine Punkt-in-der-Zeit-Bewertung spezifischen Codes. Ist der Vertrag upgradeable, zertifiziert das Audit nur die überprüfte Version — nicht das, worauf der Proxy nach dem nächsten Upgrade verweist. Nutzer, die „Ist das auditiert?" prüfen, müssen auch prüfen „Ist es upgradeable, und wer kontrolliert den Upgrade-Key?"

2. Upgradeability ist selbst ein Risikofaktor, den Nutzer systematisch unterschätzen. Ein nicht-upgradeable Vertrag, der das Audit besteht, ist deutlich sicherer als ein upgradeable mit demselben Audit, da letzterer nach Ermessen des Upgrade-Controllers zu beliebigem Code werden kann.

3. Backdoor-Funktionen sind oft mit unauffälligen Namen getarnt. Swaprums hieß add(). Die defensive Praxis — für Nutzer, die Solidity lesen können, und für die Tools, die jenen dienen, die es nicht können — ist, jede vom Vertragsbesitzer/-Upgrader aufrufbare Funktion aufzuzählen und über Worst-Case-Nutzung zu räsonieren, nicht Funktionsnamen zu vertrauen.

Die Post-Swaprum- (und Post-Hope Finance, Post-Arbix-)Industrie-Reaktion hat in Richtung gedrängt:

• Audit-Berichte, die explizit den deployten Bytecode-Hash und die Upgradeability angeben.
• On-Chain-Verifizierungstools (z. B. über Block-Explorer), die upgradeable Proxies kennzeichnen und den Upgrade-Controller identifizieren.
• Zeitversetzte, multi-sig-gegatete oder verworfene Upgrade-Autorität als Baseline-Erwartung für jedes Protokoll, das Einlagen anfordert.

Swaprum bleibt ein repräsentativer Eintrag in der 2022-2023-Welle auditierter Rug-Pulls, die den Markt kollektiv zwang zu internalisieren: „auditiert" beantwortet eine enge Frage, und die Frage, um die sich Nutzer tatsächlich sorgen — „wird dieses Team mein Geld nehmen?" — liegt meist außerhalb des Audit-Umfangs.