Скользкий момент. Если они провели аудит проекта и заметили в нем умышленные или неумышленные ошибки, которые приводят к кражам, но закрыли на это глаза, то тогда стопудово криптоаферисты. Они могут потом этими ошибками сами же и воспользоваться. Если же ничего не заметили, а кражи все-таки были из-за ошибок, то тогда они скорее школьники-дилетанты.
Но на всякий случай добавил аферистов-аудиторов в пункт 13 шапки темы. Никто от нас не уйдет.
Возможно решили сэкономить и не проводили качественный аудит, поэтому и не нашли критических уязвимостей. Вопрос только кто экономил: сами разработчики или аудиторы? Ситуацию с "закрыли глаза или сами украли" можно исключить: они и так неплохо зарабатывают на этих проверках и рисковать репутацией или свободой ради нескольких тысяч баксов не будут. Скорее всего ситуация более банальна и вы ее уже озвучили: не заметили. Сам по себе аудит хоть и полезный и может помочь инвесторам не потерять деньги, вкладываясь в небезопасный проект, но это не панацея. Смарт-контракты иногда слишком сложны и непредсказуемы и предусмотреть все варианты невозможно. Это всегда риск, аудит просто лишь чуточку уменьшает его, но винить их некоррректно.