Многие фермеры потеряли больше, чем ожидали, когда доверились этому разработчику DeFi

Фермеры, которые хотят получить быструю прибыль, недавно были вовлечены в сомнительный протокол DeFi под названием UniCats – схема выращивания урожая, напоминающая другие, более известные протоколы, такие как SushiSwap или Yam Finance.

По словам исследователя ZenGo Алекса Манускина, по крайней мере, один из его пользователей потерял токенов UNI Uniswap на сумму более 140 000 долларов даже после того, как они удалили свои средства из протокола.Другие пользователи потеряли еще около 50 000 долларов, сказал Манускин Cointelegraph.

Пользователи стали жертвами опасной практики, часто наблюдаемой в DeFi, когда большинство протоколов запрашивают разрешение на снятие неограниченного количества определенного токена из кошелька клиента.Как ранее сообщалось, децентрализованные приложения, такие как Compound, Uniswap, Kyber и другие, часто имеют бесконечные разрешения.Это позволяет смарт-контрактам проводить транзакции с любым токеном от имени каждого владельца кошелька.

Некоторые кошельки позволяют пользователям вручную настраивать утвержденную сумму, хотя обычно по умолчанию устанавливается максимально возможное значение.

Так было с UniCats, объяснил Манускин: «Все это было не только мошенничеством и жульничеством, но и требовалось отобрать все одобренные токены пользователей».

Контракт UniCats содержал скрытую функцию «setGovernance», которая позволяет его владельцу вызывать любую функцию от имени контракта.Поскольку пользователи предоставили неограниченное количество утверждений для этого контракта, разработчик смог полностью истощить баланс UNI своих пользователей.

Токены были немедленно проданы за эфир (ETH), который затем был отправлен в Tornado Cash для смешивания, что заставило многих усомниться в том, были ли эти действия преднамеренными.

Этот инцидент подчеркивает важность передачи средств только проверенным и авторитетным проектам.На волне мании урожайности многие менее известные урожайные фермы были созданы, чтобы извлечь выгоду из этой тенденции.К сожалению, они часто были откровенным захватом денег и имели разные типы бэкдоров.Многих фермеров, занимающихся выращиванием сельскохозяйственных культур, «вытащили», и их средства были истощены в подобных инцидентах.

Отличие UniCats в том, что «строители» обычно ограничивались токенами, привязанными к протоколу.Механизм бесконечного разрешения позволяет контракту навсегда отозвать каждый токен в кошельке пользователя.Кошелек становится полностью скомпрометированным до тех пор, пока одобрение не будет отменено, что означает, что любой новый токен, отправленный на адрес, может быть украден таким же образом.

Механизм утверждения необходим из-за ограничения стандарта ERC-20, используемого для токенов Ethereum.DApps и смарт-контракты не могут определить, перевел ли пользователь средства в контракт.Следовательно, контракт переводит деньги от имени пользователя, что требует предварительного утверждения.Новые стандарты, такие как ERC-777, исправляют этот недостаток, хотя этот тип токенов все еще имеет уязвимости и может стать жертвой кражи.

Обоснование установки бесконечных разрешений заключается в том, что пользователи экономят на газах и времени, поскольку им не нужно утверждать каждую транзакцию отдельно.Однако, как показала уязвимость Bancor в июне, любая компрометация контракта в дальнейшем подвергает пользователей риску кражи, даже если они давно не взаимодействовали с протоколом.