Команда проекта доходного фермерства украла $200000

Исследование, проведённое блокчейн-исследователем Алексом Манускином из ZenGo, показало, что команда проекта UniCats украла токены Uniswap (UNI) на сумму около $ 200 000 у нескольких пользователей Ethereum.

Манускин считает, что в UniCats добавили бэкдор к смарт-контракту доходного фермерства, что позволило платформе получить полный контроль над токенами пользователей даже после того, как они вывели их из пула.

В подтверждении своих слов специалист рассказал, как пользователь под псевдонимом Джон Доу (имя не раскрывается из соображений конфиденциальности), потерял в результате этой аферы UNI на сумму $ 140 000.

Jhon sees a fancy new farming scheme called UniCats, and decides to put some money in. Who knows, it might be the next YFIhttps://t.co/8bHxzcTC49 pic.twitter.com/gnzHjNQyrQ

— Alex Manuskin (@amanusk_) October 5, 2020

Dapp-приложениям с доходным фермерством свойственно запрашивать у пользователей разрешение на использование бесконечного количества токенов, и один из них утвердил соответствующий запрос, что показано на скриншоте ниже:

Манускин прокомментировал, как это решение отразилось на активах пользователя, дополнив свой твит информацией из Etherscan:

Чего Джон не знает, так это то, что после утверждения использования ∞ количества токенов контракт может забрать их в любое время. Даже после того, как они были выведены из схемы доходного фермерства.

Чтобы замести следы, разработчики UniCats создали новые смарт-контракты для новых жертв и переместили большую часть из украденных 100 ETH в Tornado Cash, экспериментальное программное обеспечение и миксер для Ethereum, которые значительно усложняют отслеживание пункта назначения средств.

Эксперт относит эту аферу с использованием командой протоколов собственных «фермерских» пулов первой в таком роде. В то же время недавно поставщик децентрализованной ликвидности Bancor подвергся внешней атаке хакеров, которые обнаружили аналогичную уязвимость в протоколе смарт-контрактов и похитили средства пользователей.