Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 138Rug pull

Rug pull à backdoor Swaprum

3 M$ rug-pullés de Swaprum sur Arbitrum, un fork d'Arbiswap dont les contrats audités cachaient un proxy upgradeable avec une fonction backdoor add().

Date
Victime
Swaprum users
Chaîne(s)
Arbitrum
Statut
Fonds dérobés

Le 19 mai 2023, le DEX Arbitrum Swaprum — un fork d'Arbiswap — a exécuté un rug pull de 3 millions de dollars en exploitant une backdoor cachée dans un contrat proxy upgradeable. Les contrats avaient été audités ; la backdoor a été introduite via le mécanisme de mise à niveau du proxy après l'audit. L'équipe a drainé les dépôts de staking LP et blanchi les produits via Tornado Cash avant de supprimer leur présence sociale.

Ce qui s'est passé

Swaprum se présentait comme un DEX légitime avec des récompenses de staking pour les fournisseurs de liquidité. Il avait un audit et les signaux de confiance habituels. La structure technique du rug :

  1. Les contrats de staking de Swaprum étaient derrière un proxy upgradeable.
  2. La version auditée des contrats était propre — c'est ce que les utilisateurs et l'audit ont examiné.
  3. Après l'audit, l'équipe a utilisé le mécanisme de mise à niveau du proxy pour déployer une nouvelle implémentation contenant une backdoor cachée : une fonction add() qui, malgré son nom inoffensif, permettait au propriétaire du contrat de drainer les jetons LP stakés du protocole.
  4. Le 19 mai, l'équipe a appelé la fonction backdoor, drainant environ 3 M$ en positions LP stakées.
  5. Retiré la liquidité, swappé en ETH, bridgé hors d'Arbitrum, et déposé dans Tornado Cash.
  6. Supprimé le site web, Twitter, Telegram et GitHub — le coup de grâce standard d'exit-scam.

Conséquences

  • Aucune récupération — le rug était structuré de sorte que l'équipe contrôlait chaque chemin de sortie.
  • Le statut « audité » a attiré une attention renouvelée sur l'écart entre « le contrat audité est sûr » et « le contrat déployé-puis-upgradé est sûr ».
  • Swaprum a rejoint la longue liste 2022-2023 de rug pulls audités de l'écosystème Arbitrum.

Pourquoi c'est important

Swaprum est l'une des démonstrations les plus nettes du pattern de rug par proxy upgradeable — distinct du rug plus simple « l'équipe avait l'autorité de mint privilégiée » (Arbix Finance) car le code malveillant n'existait pas au moment de l'audit. L'audit était, dans un sens étroit, exact : les contrats qu'il a examinés étaient propres. La backdoor a été introduite après, via le mécanisme légitime de mise à niveau du proxy, que l'audit n'avait aucun moyen d'anticiper.

Les leçons structurelles :

  1. Un audit est une évaluation à un instant T d'un code spécifique. Si le contrat est upgradeable, l'audit certifie uniquement la version examinée — pas ce vers quoi le proxy pointe après la prochaine mise à niveau. Les utilisateurs vérifiant « est-ce audité ? » doivent aussi vérifier « est-ce upgradeable, et qui contrôle la clé de mise à niveau ? »

  2. L'upgradeabilité est elle-même un facteur de risque que les utilisateurs sous-pondèrent systématiquement. Un contrat non upgradeable qui passe l'audit est significativement plus sûr qu'un contrat upgradeable avec le même audit, car ce dernier peut devenir du code arbitraire à la discrétion du contrôleur de mise à niveau.

  3. Les fonctions backdoor sont souvent déguisées avec des noms inoffensifs. Celle de Swaprum s'appelait add(). La pratique défensive — pour les utilisateurs qui peuvent lire Solidity, et pour les outils qui servent ceux qui ne le peuvent pas — est d'énumérer chaque fonction appelable par le propriétaire/upgrader du contrat et raisonner sur l'utilisation au pire cas, pas de faire confiance aux noms de fonction.

La réponse de l'industrie post-Swaprum (et post-Hope Finance, post-Arbix) a poussé vers :

  • Rapports d'audit qui énoncent explicitement le hash du bytecode déployé et si le contrat est upgradeable.
  • Outils de vérification on-chain (par ex. via les explorateurs de blocs) qui signalent les proxys upgradeables et identifient le contrôleur de mise à niveau.
  • Autorité de mise à niveau verrouillée temporellement, gardée par multi-sig, ou abandonnée comme attente de base pour tout protocole sollicitant des dépôts.

Swaprum reste une entrée représentative dans la vague 2022-2023 de rug pulls audités qui ont collectivement forcé le marché à intérioriser : « audité » répond à une question étroite, et la question qui intéresse vraiment les utilisateurs — « cette équipe va-t-elle prendre mon argent ? » — est largement hors du périmètre d'un audit.

Sources & preuves on-chain

  1. [01]halborn.comhttps://halborn.com/explained-the-swaprum-rug-pull-may-2023/
  2. [02]coingape.comhttps://coingape.com/crypto-news-swaprun-dex-arbitrum-rugpulls-sapr-token-crash/
  3. [03]cryptopotato.comhttps://cryptopotato.com/swaprum-dex-drained-in-3m-crypto-rugpull/

Dépôts liés