Según el investigador de ZenGo, un individuo probó la “agricultura de rendimiento” en un proyecto DeFi supuestamente falso y perdió mucho dinero.

Un usuario de Ethereum ha perdido $ 140,000 en UNI, el token de gobernanza de la plataforma de finanzas descentralizadas (DeFi) Uniswap, para generar el proyecto agrícola UniCats, según Alex Manuskin, investigador de la billetera criptográfica ZenGo.

Durante el fin de semana pasado, el usuario anónimo, llamado “Jhon Doe” por razones de privacidad (y deliberadamente mal escrito por razones desconocidas), se topó con un nuevo esquema de cultivo de rendimiento llamado UniCats y decidió transferir algunos tokens UNI a su fondo de liquidez.

Manuskin especuló que el usuario podría haber estado pensando “quién sabe, podría ser el próximo YFI”. Esta es una referencia al proyecto experimental no auditado Yearn.finance, que pasó de cero a $ 40 000 en dos meses.

En el proceso, la plataforma pidió permiso para gastar una cantidad ilimitada de tokens, lo que Doe acordó ya que es una práctica relativamente común en DeFi. Después de cultivar algunas fichas MEOW, el usuario sacó su UNI de la piscina.

Poco sabía él que el desarrollador de UniCats creó una puerta trasera en el contrato inteligente que le dio control sobre los tokens incluso después de que fueron retirados de la plataforma.

“Lo que Jhon no sabe es que una vez que aprobó el contrato para usar tokens [infinitos], el contrato puede tomar sus tokens en cualquier momento. Incluso después de que fueron retirados del plan agrícola ”, dijo Manuskin.

Gracias a esta puerta trasera, el creador de UniCats pudo usar la llamada “setGovernance” para arrebatar los tokens de Doe. En dos transacciones rápidas, el usuario perdió 26 000 y 10 000 UNI, por un valor de alrededor de $ 94 000 y $ 38 000, respectivamente. Luego, los tokens se cambiaron por poco más de 416 Wrapped Ether (aproximadamente $ 147,000) en Uniswap. Y Doe no fue la única víctima.

“Los $ 140,000 son solo de una víctima. El culpable ganó al menos $ 50,000 más de otras víctimas. Podría ser aún más, es un poco difícil de cuantificar, ya que es en transacciones separadas ”, dijo Manuskin a Decrypt.

Agregó que esta es la primera vez que ve este tipo de ataque usado deliberadamente en grupos agrícolas, aunque hace poco se usó un truco similar contra Bancor. Sin embargo, Bancor sufrió un exploit, no una puerta trasera intencional creada por los desarrolladores, explicó Manuskin.

También señaló que el desarrollador de UniCats crea contratos inteligentes adicionales para que cada nueva víctima cubra sus huellas. Luego, el desarrollador mueve los fondos robados al mezclador de cifrado Tornado Cash, una forma de dificultar que las empresas de análisis de blockchain sigan el dinero.

Manuskin instó a los usuarios a aprobar solo los tokens que quieran gastar, ya que la cantidad aprobada llega a cero después de que el contrato lo usa, o revocar el acceso a sus fondos después.

“Gran parte del problema se debe al hecho de que los usuarios son cómplices para aprobar cantidades infinitas, ya que este también es el estándar en las dapps populares”, explicó a Decrypt, y agregó que “en el lado de las dapp, deberían considerar solo promocionar a permitir la cantidad necesaria, incluso si esto causa molestias al usuario. Por el lado de la billetera, las billeteras deben alertar al usuario de que están dando permiso a todos sus tokens actuales y futuros “.

Porque nadie quiere aprobar una transacción que podría deshacerse de todo su dinero.

Pagina Original: