Um usuário do Ethereum perdeu US$ 140.000 (R$ 770 mil) em UNI, o token de governança da plataforma de finanças descentralizadas (DeFi) Uniswap, de acordo com Alex Manuskin, do time de research da carteira ZenGo.
No fim de semana passado, o usuário de pseudônimo “Jhon Doe”, topou com um novo esquema de yield farming chamado UniCats e decidiu transferir alguns tokens UNI para seu pool de liquidez.
No processo, a plataforma pediu permissão para gastar um número ilimitado de tokens – o que Doe concordou, uma vez que é uma prática relativamente comum no mercado DeFi. Depois de colher alguns tokens MEOW, o usuário tirou seus token UNI do pool.
Mal sabia ele que o desenvolvedor do UniCats criou uma backdoor no contrato inteligente que deu a ele controle sobre os tokens mesmo depois que eles fossem retirados da plataforma.
“O que Jhon não sabe é que, uma vez que você aprovou o contrato para usar tokens [infinitos], o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema defarm”, disse Manuskin.
Graças a esse backdoor, o criador do UniCats foi capaz de usar a chamada “setGovernance” para capturar os tokens de Doe. Em duas transações rápidas, o usuário perdeu 26.000 e 10.000 UNI – no valor de cerca de US$ 94.000 e US$ 38.000, respectivamente. Os tokens foram trocados por pouco mais de 416 Wrapped Ether (cerca de US$ 147.000) no Uniswap. E Doe não foi a única vítima.
Leia Também
“Os $ 140.000 são de apenas uma vítima. O golpista ganhou pelo menos US$ 50.000 a mais com outras vítimas. Pode ser ainda mais, é um pouco difícil de quantificar, pois é em transações separadas”, disse Manuskin ao Decrypt.
Ele acrescentou que esta é a primeira vez que ele vê esse tipo de ataque usado deliberadamente em pools de far,, embora um hack semelhante tenha sido usado contra o Bancor há pouco tempo. No entanto, o Bancor sofreu um exploit, não um backdoor intencional criado pelos desenvolvedores, explicou Manuskin.
Ele também observou que o desenvolvedor do UniCats cria contratos inteligentes adicionais para cada nova vítima para cobrir seus rastros. O desenvolvedor então move os fundos roubados para o mixer Tornado Cash – uma maneira de tornar mais difícil para as empresas de análise de blockchain rastrearam o dinheiro.
Manuskin instou os usuários a aprovar apenas os tokens que desejam gastar – uma vez que o valor aprovado vai para zero depois que o contrato o usa – ou revogar o acesso aos seus fundos posteriormente.
“Grande parte do problema é causado pelo fato de os usuários serem cúmplices em aprovar quantidades infinitas, já que este é o padrão em dapps populares também”, explicou ele ao Decrypt, acrescentando que “No lado do dapp, eles deveriam considerar apenas a promoção para permitir a quantidade necessária, mesmo que cause transtorno ao usuário. No lado da carteira, as carteiras devem alertar o usuário de que estão dando permissão para todos os seus tokens atuais e futuros. ”
*Traduzido e editado com autorização da Decrypt.co
