Nonostante l'enorme successo dell'exchange decentralizzato ShibaSwap, alcuni membri della community hanno messo in guardia i liquidity provider della piattaforma in merito al reale grado di sicurezza del protocollo.
Basato sul noto token a tema canino Shiba Inu (SHIB), divenuto popolare in seguito alla frenesia per i "dog token" scatenata da Elon Musk, ieri gli sviluppatori della criptovaluta hanno lanciato un nuovo DEX con allettanti incentivi per i fornitori di liquidità.
A sole 24 ore dal lancio, il protocollo ha accumulato un valore totale bloccato (TVL) di oltre un miliardo di dollari. Tuttavia, quest'oggi il sito web DeFi Safety ha pubblicato un report su ShibaSwap, assegnando al protocollo un voto di appena il 3%: molto al di sotto del minimo consigliato del 70%.
Definendo la piattaforma "un fallimento completo", DeFi Safety ha bocciato ShibaSwap in 20 dei 22 criteri di revisione. L'autore della recensione è Rex Hygate, fondatore di SecuEth e Caliburn Consulting.
Hygate ha evidenziato la presenza di un team completamente anonimo alle spalle del progetto, la mancanza di trasparenza e documentazione, nonché la totale assenza di un software repository pubblico, di una cronologia di sviluppo o di un qualsiasi modo per testare il codice:
"La nostra recensione di ShibaSwap è online, si aggiudica un disastroso punteggio del 3%. Se eri alla ricerca di un ottimo esempio di come sviluppare un protocollo nel modo più negligente possibile, eccolo qui. Zero trasparenza, state mettendo i vostri soldi in un buco nero."
ShibaSwap is up with a devastating 3% score. If you are looking for a prime example of what absolute negligence looks like in a protocol, look no further than this. Zero Transparency. You are putting your money in a black hole. https://t.co/dUzU0vvCHW @ChrisBlec @ShibArmy #DeFi pic.twitter.com/QG3ykYakdt
— DeFi Safety (@DefiSafety) July 7, 2021
Il 7 giugno anche Joseph Schiarizzi, sviluppatore di Solidity, ha pubblicato un articolo in cui avvertiva che il contratto di staking di ShibaSwap era stato sotto il controllo di un unico indirizzo per la maggior parte del suo primo giorno di attività.
Sebbene da allora ShibaSwap abbia aggiornato il contratto, il quale ora richiede che 6 dei 9 Safe Owner concordino sulle transazioni prima di poterle eseguire, Schiarizzi avverte che ciascun indirizzo potrebbe in realtà essere sotto il controllo di una singola entità:
"Molti di questi Safe Owner sono nuovi account con 0 transazioni e nessun ETH, quindi sono molto probabilmente soltanto delle finte entità controllate dagli sviluppatori di ShibaSwap."
Schiarizzi ha evidenziato quanto rischioso sia il fatto che la funzione di migrazione del contratto sia sotto il controllo di un'unica entità, la quale "potrebbe semplicemente implementare un nuovo contratto di migrazione che invia a sé stesso tutti i token dei liquidity provider."
Chris Blec, analista di DeFi Watch, condivide i timori di Schiarizzi. Ha infatti scritto su Twitter:
"Ieri abbiamo notato che tutti i fondi in ShibaSwap possono essere drenati da un singolo account Ethereum. ShibaSwap ha quindi trasferito la proprietà a un nuovo sistema Gnosis multisig... con firmatari sconosciuti e nuovi indirizzi.
Il problema? È possibile che una sola persona abbia creato il multisig e possieda tutte le chiavi."
⚠️ Yesterday, it was noticed that all funds in ShibaSwap could be drained by 1 Ethereum account.
— Chris Blec (@ChrisBlec) July 7, 2021
ShibaSwap then switched ownership to a new Gnosis multisig with unknown signers & fresh addresses.
The problem: it's possible to create a multisig and own all the keys yourself. pic.twitter.com/wSN1yOB2Qn