Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 138Rug pull

Rug pull con backdoor en Swaprum

Rug pull de $3M en Swaprum en Arbitrum, un fork de Arbiswap cuyos contratos auditados ocultaban un proxy actualizable con una función add() de backdoor.

Fecha
Víctima
Swaprum users
Cadena(s)
Arbitrum
Estado
Fondos robados

El 19 de mayo de 2023, el DEX de Arbitrum Swaprum — un fork de Arbiswap — ejecutó un rug pull de $3 millones explotando un backdoor oculto en un contrato proxy actualizable. Los contratos habían sido auditados; el backdoor se introdujo a través del mecanismo de actualización del proxy después de la auditoría. El equipo drenó los depósitos de staking LP y blanqueó las ganancias a través de Tornado Cash antes de eliminar su presencia social.

Qué ocurrió

Swaprum se presentaba como un DEX legítimo con recompensas de staking para proveedores de liquidez. Tenía una auditoría y las señales de confianza habituales. La estructura técnica del rug:

  1. Los contratos de staking de Swaprum estaban detrás de un proxy actualizable.
  2. La versión auditada de los contratos estaba limpia — que es lo que los usuarios y la auditoría revisaron.
  3. Después de la auditoría, el equipo usó el mecanismo de actualización del proxy para desplegar una nueva implementación con un backdoor oculto: una función add() que, a pesar de su nombre inocuo, permitía al propietario del contrato drenar los tokens LP en stake del protocolo.
  4. El 19 de mayo, el equipo llamó a la función backdoor, drenando aproximadamente $3M en posiciones LP en stake.
  5. Retiraron liquidez, intercambiaron a ETH, puentearon fuera de Arbitrum y depositaron en Tornado Cash.
  6. Eliminaron el sitio web, Twitter, Telegram y GitHub — el movimiento estándar de cierre de una estafa de salida.

Consecuencias

  • Sin recuperación — el rug se estructuró de modo que el equipo controlaba cada vía de salida.
  • El estado de "auditado" atrajo renovada atención a la brecha entre "el contrato auditado es seguro" y "el contrato desplegado y luego actualizado es seguro."
  • Swaprum se unió a la larga lista de rug pulls "auditados" del ecosistema Arbitrum de 2022-2023.

Por qué importa

Swaprum es una de las demostraciones más limpias del patrón de rug con proxy actualizable — distinto del rug más simple de "el equipo tenía autoridad de acuñación privilegiada" (Arbix Finance) porque el código malicioso no existía en el momento de la auditoría. La auditoría era, en sentido estricto, precisa: los contratos que revisó estaban limpios. El backdoor se introdujo después, mediante el mecanismo legítimo de actualización del proxy, que la auditoría no podía anticipar.

Las lecciones estructurales:

  1. Una auditoría es una evaluación puntual de código específico. Si el contrato es actualizable, la auditoría certifica solo la versión revisada — no lo que sea que el proxy apunte después de la próxima actualización. Los usuarios que comprueban "¿está esto auditado?" también necesitan comprobar "¿es actualizable, y quién controla la clave de actualización?"

  2. La actualizabilidad es en sí misma un factor de riesgo que los usuarios sistemáticamente subestiman. Un contrato no actualizable que pasa la auditoría es significativamente más seguro que uno actualizable con la misma auditoría, porque el último puede convertirse en código arbitrario a discreción del controlador de actualizaciones.

  3. Las funciones backdoor a menudo se disfrazan con nombres inocuos. La de Swaprum se llamaba add(). La práctica defensiva — para usuarios que pueden leer Solidity, y para las herramientas que sirven a quienes no pueden — es enumerar cada función que el propietario/actualizador del contrato puede llamar y razonar sobre el peor uso posible, no confiar en los nombres de las funciones.

La respuesta de la industria post-Swaprum (y post-Hope Finance, post-Arbix) ha empujado hacia:

  • Informes de auditoría que declaran explícitamente el hash del bytecode desplegado y si el contrato es actualizable.
  • Herramientas de verificación on-chain (p. ej. vía exploradores de bloques) que señalan los proxies actualizables e identifican al controlador de actualizaciones.
  • Autoridad de actualización con timelock, multi-sig, o renunciada como expectativa base para cualquier protocolo que solicite depósitos.

Swaprum sigue siendo una entrada representativa en la ola de 2022-2023 de rug pulls auditados que colectivamente forzaron al mercado a internalizar: "auditado" responde a una pregunta estrecha, y la pregunta que realmente les importa a los usuarios — "¿este equipo se quedará con mi dinero?" — está mayormente fuera del alcance de una auditoría.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://halborn.com/explained-the-swaprum-rug-pull-may-2023/
  2. [02]coingape.comhttps://coingape.com/crypto-news-swaprun-dex-arbitrum-rugpulls-sapr-token-crash/
  3. [03]cryptopotato.comhttps://cryptopotato.com/swaprum-dex-drained-in-3m-crypto-rugpull/

Registros relacionados