Dolandırılan Ethereum Kullanıcısı 140.000 Dolarlık UNI Kaybetti
Dolandırılan Ethereum Kullanıcısı 140.000 Dolarlık UNI Kaybetti.
ZenGo kripto cüzdanı araştırmacısı Alex Manuskin’e göre bir Ethereum kullanıcısı, UniCats yield farming projesi için merkezi olmayan finans (DeFi) platformu Uniswap’ın yönetişim token’ı olan UNI cinsinden 140.000 dolar kaybetti.
Geçtiğimiz hafta sonu gizlilik nedenlerinden ötürü “Jhon Doe” adlı anonim kullanıcı, UniCats adlı yeni bir yield farming planına rastladı ve UNI token’larını likidite havuzuna aktarmaya karar verdi.
If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
? pic.twitter.com/QltkevnzDY— Alex Manuskin (@amanusk_) October 5, 2020
Manuskin, kullanıcının “kim bilir, belki bir sonraki YFI olabilir” diye düşünüyor olabileceğini söyledi. YFI, iki ayda sıfırdan 40.000 dolara çıkan, denetlenmemiş, deneysel Yearn.finance projesinin token’ıdır.
Bu süreçte platform, DeFi’de nispeten yaygın bir uygulama olduğu için Doe sınırsız sayıda token harcamak için izin istedi. Nazı MEOW token’larını topladıktan sonra kullanıcı UNI’lerini havuzdan çıkardı.
Ancak geliştiricinin kendine özgü yöntemleri vardı
UniCats’in geliştiricisinin akıllı sözleşmede, platformdan çekildikten sonra bile token’lar üzerimde kontrol sahibi olmasını sağlayan bir “arka kapı” oluşturduğunu bilmiyordu.
Manuskin, “Jhon’un bilmediği şey, sonsuz token kullanma sözleşmesini onayladığınızda, sözleşmenin token’larınızı herhangi bir zamanda alabileceğidir. Farming’den çekildikten sonra bile,” dedi.
Bu arka kapı sayesinde UniCats’in yaratıcısı Doe’nun token’larını ele geçirmek için “setGovernance” çağrısını kullandı. İki hızlı işlemde kullanıcı 26.000 ve 10.000 UNI kaybetti – sırasıyla yaklaşık 94.000 ve 38.000 dolar. Token’lar daha sonra Uniswap’te 416’nın biraz üzerinde miktarda Wrapped Ether (kabaca 147.000 dolar) ile değiştirildi. Doe, tek kurban değildi.
Decrypt’te yer alan habere göre Manuskin, “140.000 dolar sadece bir kurbandan alınan miktar. Suçlu, diğer kurbanlardan en az 50.000 dolar daha fazla kazandı. Daha fazlası da olabilir, ayrı işlemlerle yapıldığı için ölçmek biraz zor,” dedi.
If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
? pic.twitter.com/QltkevnzDY— Alex Manuskin (@amanusk_) October 5, 2020
Kısa bir süre önce Bancor’a karşı benzer bir hack yöntemi kullanılmasına rağmen bu tür bir saldırının, yield farming havuzlarında kasıtlı olarak kullanıldığını ilk kez gördüğünü sözlerine ekledi. Manuskin, Bancor’un geliştiriciler tarafından yaratılan kasıtlı bir arka kapıdan değil, bir istismardan muzdarip olduğunu açıkladı.
Ayrıca UniCats geliştiricisinin her yeni kurbana karşı izlerini örtmek için ek akıllı sözleşmeler oluşturduğunu da belirtti. Geliştirici daha sonra çalınan fonları, blockchain analiz şirketlerinin parayı takip etmesini zorlaştırmanın bir yolu olan kripto karıştırıcısı Tornado Cash’e taşıyor.