Usuários de yield farming perdem dinheiro depois de confiarem em desenvolvedor DeFi
Alguns usuários da UniCats viram todo o saldo de tokens derreter devido a um contrato malicioso.
Alguns usuários de yield farming que buscavam lucros rápidos foram recentemente ludibriados por um protocolo DeFi chamado UniCats – um esquema que lembra outros protocolos mais famosos como SushiSwap ou Yam Finance.
De acordo com o pesquisador Alex Manuskin, da ZenGo, pelo menos um de seus usuários perdeu mais de US$ 140.000 em tokens UNI da Uniswap, mesmo depois de remover seus fundos do protocolo. Outros usuários perderam outros US$ 50.000, Manuskin disse ao Cointelegraph.
Os usuários foram vítimas de uma prática maliciosa comumente observada no setor DeFi, em que a maioria dos protocolos pede autorização para retirar quantias ilimitadas de um token específico da carteira de um cliente.
Como o Cointelegraph publicou anteriormente, aplicativos descentralizados como Compound, Uniswap, Kyber e outros geralmente apresentam permissões infinitas. Isso permite que os contratos inteligentes transacionem tanto de um determinado token quanto quiserem em nome de cada proprietário de carteira.
Algumas carteiras permitirão que os usuários ajustem manualmente um valor aprovado, embora geralmente seja definido como o valor máximo possível por padrão.
Esse foi o caso com UniCats, Manuskin explicou: “O que ocorreu não foi apenas um puxão de tapete e uma farsa, mas também foi atrás de todos os tokens aprovados pelos usuários.”
O contrato UniCats continha uma função escondida chamada “setGovernance”, que permite ao seu proprietário operar qualquer função em nome do contrato. Como os usuários concederam aprovações infinitas a este contrato, o desenvolvedor conseguiu drenar todos os saldos UNI de seus usuários.
Os tokens foram imediatamente vendidos por Ether (ETH), que foram então enviado para o Tornado Cash para ser misturado, levando muitos a questionar se as ações foram premeditadas.
O incidente destaca a importância de delegar fundos apenas para projetos aprovados e confiáveis. Na esteira da mania da yield farming, muitas farms menos conhecidas foram criadas para capitalizar a tendência. Infelizmente, muitas vezes eram puro roubo de dinheiro e apresentavam diferentes tipos de backdoors. Muitos produtores foram prejudicados e seus fundos drenados em incidentes semelhantes.
A diferença para os UniCats é que os “construtores” geralmente se limitam aos tokens comprometidos com o protocolo. O mecanismo de permissão infinita permite que o contrato retire cada token da carteira do usuário para sempre. A carteira fica totalmente comprometida até que a aprovação seja retirada, o que significa que qualquer novo token enviado para o endereço pode ser roubado da mesma maneira.
O mecanismo de aprovação é necessário devido a uma limitação do padrão ERC-20 usado por tokens Ethereum. DApps e contratos inteligentes não podem detectar se um usuário transferiu fundos para o contrato. Portanto, o contrato transfere o dinheiro em nome do usuário, o que requer uma aprovação. Padrões mais novos, como ERC-777, corrigem essa falha, embora esse tipo de token ainda tenha vulnerabilidades e possa se tornar vítima de roubo.
A justificativa para definir aprovações infinitas é que os usuários economizam em taxas de gás e tempo por não terem que aprovar cada transação separadamente. No entanto, como a vulnerabilidade do Bancor mostrou em junho, qualquer comprometimento de um contrato no futuro expõe seus usuários ao roubo, mesmo que eles não tenham interagido com o protocolo há algum tempo.
LEIA MAIS
- Ledger alerta sobre extensão falsa do Google Chrome que rouba criptomoeda
- EUA: Mercado ICO é exemplo de mercado de valores mobiliários não regulamentado, diz comissário da SEC
- YouTube está censurando conteúdo sobre criptomoedas
- Fundação Litecoin lança MimbleWimble por meio de blocos de extensão