Noticias
El proyecto de agricultura de rendimiento estafa a los usuarios de Ethereum por un valor de $ 200,000 en Uni
Posted:
Journalist
Una investigación realizada por Alex Manuskin, en ZenGo revelado hoy en Twitter, el proyecto de "cultivo de rendimiento" UniCats supuestamente robó casi $ 200,000 en tokens Uniswap (UNI) de varios usuarios de ethereum.
Manuskin creía que UniCats agregó una "puerta trasera" al contrato inteligente de cultivo de rendimiento que permitía a la plataforma tener un control completo sobre los tokens de sus usuarios incluso después de que los usuarios lo retiraran del grupo de cultivo.
Manuskin ilustró cómo un usuario anónimo, llamado “Jhon Doe” por razones de privacidad, aparentemente perdió $ 140,000 en UNI como resultado de esta estafa. El investigador creía que Doe habría caído en la trampa bajo la suposición de que cultivar con UniCats conduciría al "próximo YFI" como un éxito.
Jhon ve un nuevo y elegante esquema agrícola llamado UniCats, y decide invertir algo de dinero. Quién sabe, podría ser el próximo YFIhttps://t.co/8bHxzcTC49 pic.twitter.com/gnzHjNQyrQ
– Alex Manuskin (@amanusk_) 5 de octubre de 2020
Es típico de las Dapps de producción de rendimiento pedir permiso a los usuarios para gastar una cantidad infinita de tokens, y el usuario en cuestión accedió a una solicitud similar que se ve en la imagen a continuación:
Fuente de la imagen: @amanusk
Después de esto, el investigador utilizó un rastreo etherscan reporte para indicar que el usuario habría cultivado “algo de $ MEOW” y luego decidió sacar todos los tokens UNI del grupo. Manuskin explicó el proceso en un tweet:
Lo que Jhon no sabe es que una vez que aprueba el contrato para usar tokens ∞, el contrato puede tomar sus tokens en cualquier momento. Incluso después de que fueron retirados del plan agrícola.
De hecho, para cubrir sus pistas, los desarrolladores de UniCats crearon nuevos contratos inteligentes "para cada nueva víctima" y que los desarrolladores movieron grandes cantidades de 100ETH robados a Tornado Cash, un software experimental y un mezclador de privacidad para Ethereum que hacen que el proceso de seguimiento del destino de fondos extremadamente difícil.
En su investigación, Manuskin mencionó que esta estafa sería la primera, especialmente para aprovechar sus propios protocolos de agrupaciones agrícolas. Recientemente, Bancor, un proveedor de liquidez descentralizado, fue atacado por piratas informáticos que encontraron una vulnerabilidad de puerta trasera similar en su protocolo de contrato inteligente, lo que provocó la pérdida de fondos de los usuarios.
Esta es una traducción automática de nuestra versión en inglés.
