Новости Пользователь лишился $140 000, став жертвой DeFi-скама

Неизвестный пользователь расстался со $140 000 в токенах децентрализованной биржи Uniswap после их размещения в пуле проекта UniCats. Подробную историю раскрыл исследователь ZenGo Алекс Манускин.

If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
pic.twitter.com/QltkevnzDY

— Alex Manuskin (@amanusk_) October 5, 2020
​

Эксперт отмечает, что условный некий Джо наткнулся на причудливую схему доходного фермерства под названием UniCats.

С мыслями о том, что она может повторить успех yEarn Finance (YFI), пользователь решает внести немного UNI.

Он получает «старое доброе» сообщение от MetaMask: «позвольте этому dapp потратить ваш UNI». Джо, полагая, что это стандартная практика всех похожих DeFi-протоколов, соглашается.

Jhon decides to deposit some $UNI, and gets the good old “Allow this Dapp to spend your UNI” message from Metamask, and thinks. “Oh, this again. Yeah, all the farming Dapps do that, why not ”

And approves the transaction pic.twitter.com/qhghToDC0s

— Alex Manuskin (@amanusk_) October 5, 2020
​

Вырастив несколько токенов MEOW, он выводит UNI.

«Джо невдомек, что после разрешения смарт-контракт мог забрать токены в любое время. Даже после того, как они были выведены из проекта», — отмечает исследователь.


What Jhon doesn’t know, is that once you approved the contract to use ∞ tokens, the contract can take their tokens at any time. Even after they were withdrawn from the farming scheme.

— Alex Manuskin (@amanusk_) October 5, 2020
​

Создатели Unicat предусмотрели в смарт-контракте бэкдор. Злоумышленники провели две транзакции на 26 000 (~$94 000) и 10 000 UNI (~$38 000). Условный Джо оказался не единственной жертвой.

Jhon loses 26K UNI, and then another 10K UNI while they sleephttps://t.co/ujtcoqjD2lhttps://t.co/krCBzjX3A1 pic.twitter.com/jbqgTAC6zN

— Alex Manuskin (@amanusk_) October 5, 2020


«$140 000 — это только с одной жертвы. Преступники сделали еще по крайней мере $50 000 на остальных. Реальная сумма может быть больше. Ее сложно оценить, так как вывод осуществлялся отдельными транзакциями», — пояснил исследователь в интервью Decrypt.
​

Манускин добавил, что с подобным типом атак в DeFi-проекте он столкнулся впервые. Он пояснил, что похожая ситуация возникла с контрактом Bancor, но там была уязвимость, а не специально установленный бэкдор.

Исследователь подчеркивает, что администраторы Unicat разработали хитроумную схему. Чтобы замести следы, для каждой новой жертвы они создают новый смарт-контракт и передают ему право собственности в пуле.

Каждый новый контракт присваивает часть средств, меняет их на Uniswap, и передает их на адреса, принадлежащие Unicat. Украденные ETH затем перемещаются в миксер Tornado Cash в объемах 100 ETH.

Each new contract fishes out some funds, swaps them on Uniswap, and passes them to and address owned by UniCat. Stolen ETH are then moved into @TornadoCash , in bulks of 100ETH before moving on to the next victimhttps://t.co/N8A4ULC2tp

— Alex Manuskin (@amanusk_) October 5, 2020


«Джо просыпается, чтобы обнаружить, что лишился половины принадлежащих ему UNI. Он клянется больше не заниматься «доходным фермерством» и выводит все свои средства со счета. UniCat продолжает искать новых жертв», — заканчивает историю Манускин, добавляя пару советов, как не повторить этот опыт.


Jhon Doe wakes up to figure out that half of their UNI holdings are gone, swears off farming, and moves all their funds out of the account.

UniCat continues to fish for more victimshttps://t.co/fXEpnMES7t

— Alex Manuskin (@amanusk_) October 5, 2020
​

В сентябре ForkLog сообщал о похожей схеме в DeFi-проекте tomatos.finance. При переходе на сайт потенциальные жертвы могут дать разрешения, которые запускают вывод токенов на сторонний адрес.

Напомним, ранее подозрения в скам-природе вызвали два проекта — EMD и LV Finance.

Тон Вейс на канале Forklog заявил, что все DeFi-проекты обладают признаками схем Понци.

Новость Пользователь лишился $140 000, став жертвой DeFi-скама на сайте CoinProject.info.