Nova criptomoeda DeFi roubou carteiras de investidores
Recentemente a onda do DeFi vem tomando conta do criptomercado, com muitos investidores tentando encontrar a mais nova moeda que vai valorizar como a UNISwap ou a Chainlink. No entanto, alguns acabaram caindo em uma armadilha após terem apostado na moeda UniCat, o protocolo aproveitou um de seus contratos para roubar criptomoedas da carteira dos compradores.
“Se você ainda não está convencido que NÃO deveria aprovar saques infinitos de tokens para qualquer contrato/Dapp, aqui está uma história de como alguém perdeu US$ 140 mil em UNI do dia para noite.”
If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
👇 pic.twitter.com/QltkevnzDY— Alex Manuskin (@amanusk_) October 5, 2020
De acordo com uma série de tuítes de Alex Manuskin, um dos pesquisadores de ZenGo, um protocolo DeFI foi capaz de roubar mais de US$ 140 mil (Cerca de R$ 780 mil) de um investidor, mesmo após eles terem retirado os valores do protocolo. Sendo assim, a UniCat foi capaz de tirar os valores diretamente da carteira dos usuários.
O problema aconteceu por causa de uma particularidade dos protocolos DeFi: Esses protocolos pedem autorização através do MetaMask para poder fazer saques da carteira do cliente. Protocolos como o Kyber, UniSwap e Compound pedem esse tipo de autorização, no entanto, diferente desses protocolos reconhecidos, o UniCat aproveitou essa característica para realizar atividades ilícitas.
De acordo com o pesquisador, o contrato do UniCats escondeu uma função setGovernance que permitia que o desenvolvedor pudesse executar diferentes funções utilizando dados que passaram pelo contrato, incluindo tokens e endereços.
Segundo Alex, o dono do protocolo utilizou esse backdoor para iniciar uma função que transferiu tokens UNI da carteira do cliente diretamente para a dele. Logo depois, os valores foram trocados por ETH na Uniswap. Ao todo, um total de 26 mil tokens UNI foram roubados durante a operação.
Tudo isso sem o cliente ter ideia do que estava acontecendo, já que ele já tinha retirado os valores do contrato.
Criador do UniCat está escondendo seus rastros
Ainda de acordo com o Twitt postado pelo pesquisador, o criador do UniCat está tentando esconder seus passos. Além de ter enviado os tokens roubados para um mixer de endereço para dificultar o rastreio, ele também está criando um novo contrato para cada nova vítima do golpe.
Se você já usou o protocolo UniCat em algum momento, o pesquisador ressalta que é importante revogar todas as permissões que você disponibilizou para o contrato até o momento. Ele também alertou para nunca dar esse tipo de autorização para qualquer contrato não auditado.
Por enquanto o DeFi continua se assemelhando muito com o que aconteceu em 2017 com as ICOs. Muita gente tentando ficar rica com diferentes promessas, mas muitas vezes perdendo muito dinheiro.
Leia mais em Nova criptomoeda DeFi roubou carteiras de investidores