I coltivatori di rendimento che cercano un rapido profitto sono stati recentemente presi in considerazione da un discutibile protocollo DeFi chiamato UniCats, uno schema di agricoltura di rendimento che ricorda altri protocolli più famosi come SushiSwap o Yam Finance.

Secondo il ricercatore di ZenGo Alex Manuskin, almeno uno dei suoi utenti perduto più di $ 140.000 di token UNI di Uniswap anche dopo che hanno rimosso i loro fondi dal protocollo. Altri utenti hanno perso circa $ 50.000 in più, ha detto Manuskin a Cointelegraph.

Gli utenti sono stati vittime di una pratica pericolosa comunemente osservata in DeFi, dove la maggior parte dei protocolli richiederà l’autorizzazione a prelevare quantità illimitate di un particolare token dal portafoglio del cliente. Come riportato in precedenza da Cointelegraph, le app decentralizzate come Compound, Uniswap, Kyber e altre spesso offrono quote infinite. Ciò consente agli smart contract di negoziare la quantità di un determinato token che desiderano per conto di ciascun proprietario di portafoglio.

Alcuni wallet consentiranno agli utenti di regolare manualmente un importo approvato, sebbene questo sia generalmente impostato sul valore massimo possibile per impostazione predefinita.

Questo è stato il caso di UniCats, Manuskin ha spiegato: “Non solo l’intera faccenda era un tiro al tappeto e una truffa, ma vuole anche andare dietro a tutti i token approvati degli utenti”.

Il contratto UniCats conteneva una subdola funzione “setGovernance” che consente al suo proprietario di chiamare qualsiasi funzione nel nome del contratto. Poiché gli utenti hanno concesso infinite approvazioni a questo contratto, lo sviluppatore è stato in grado di svuotare la totalità dei saldi UNI dei suoi utenti.

I token sono stati immediatamente venduti per Ether (ETH), che è stato poi inviato a Tornado Cash per essere mescolato, portando molti a chiedersi se queste azioni fossero premeditate.

L’incidente sottolinea l’importanza di delegare fondi solo a progetti controllati e rispettabili. Sulla scia della mania del raccolto, molte aziende agricole meno conosciute sono state avviate per capitalizzare la tendenza. Purtroppo lo erano spesso vere e proprie prese di cassa e presentavano diversi tipi di backdoor. Molti coltivatori di raccolto sono stati “tirati indietro” e i loro fondi sono stati prosciugati in incidenti simili.

La differenza con UniCats è che i “builder” di solito si limitano ai token impegnati nel protocollo. Il meccanismo di indennità infinita consente al contratto di ritirare ogni singolo token nel portafoglio dell’utente, per sempre. Il portafoglio diventa completamente compromesso fino a quando l’approvazione non viene revocata, il che significa che qualsiasi nuovo token inviato all’indirizzo può essere rubato allo stesso modo.

Il meccanismo di approvazione è reso necessario da una limitazione dello standard ERC-20 utilizzato per i token Ethereum. DApp e contratti intelligenti non possono rilevare se un utente ha trasferito fondi al contratto. Quindi, il contratto trasferisce il denaro per conto dell’utente, il che richiede un’approvazione prestabilita. Standard più recenti come ERC-777 risolvono questo difetto, sebbene questo tipo di token abbia ancora vulnerabilità e può ancora diventare vittima di un furto.

La logica alla base dell’impostazione di approvazioni infinite è che gli utenti risparmiano sui costi e sul tempo del gas non dovendo approvare ogni transazione separatamente. Tuttavia, poiché il file La vulnerabilità di Bancor si è manifestata a giugno, qualsiasi compromissione di un contratto lungo la linea espone i suoi utenti a furti, anche se non interagiscono con il protocollo da un po ‘.





Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here