Imagem da matéria: Usuário de Ethereum sofre golpe de US$ 140 mil em tokens Uniswap (UNI)
Uniswap (UNI) (Foto: Shutterstock)

Um usuário do Ethereum perdeu US$ 140.000 (R$ 770 mil) em UNI, o token de governança da plataforma de finanças descentralizadas (DeFi) Uniswap, de acordo com Alex Manuskin, do time de research da carteira ZenGo.

No fim de semana passado, o usuário de pseudônimo “Jhon Doe”, topou com um novo esquema de yield farming chamado UniCats e decidiu transferir alguns tokens UNI para seu pool de liquidez.

Publicidade

No processo, a plataforma pediu permissão para gastar um número ilimitado de tokens – o que Doe concordou, uma vez que é uma prática relativamente comum no mercado DeFi. Depois de colher alguns tokens MEOW, o usuário tirou seus token UNI do pool.

Mal sabia ele que o desenvolvedor do UniCats criou uma backdoor no contrato inteligente que deu a ele controle sobre os tokens mesmo depois que eles fossem retirados da plataforma.

“O que Jhon não sabe é que, uma vez que você aprovou o contrato para usar tokens [infinitos], o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema defarm”, disse Manuskin.

Graças a esse backdoor, o criador do UniCats foi capaz de usar a chamada “setGovernance” para capturar os tokens de Doe. Em duas transações rápidas, o usuário perdeu 26.000 e 10.000 UNI – no valor de cerca de US$ 94.000 e US$ 38.000, respectivamente. Os tokens foram trocados por pouco mais de 416 Wrapped Ether (cerca de US$ 147.000) no Uniswap. E Doe não foi a única vítima.

Publicidade

“Os $ 140.000 são de apenas uma vítima. O golpista ganhou pelo menos US$ 50.000 a mais com outras vítimas. Pode ser ainda mais, é um pouco difícil de quantificar, pois é em transações separadas”, disse Manuskin ao Decrypt.

Ele acrescentou que esta é a primeira vez que ele vê esse tipo de ataque usado deliberadamente em pools de far,, embora um hack semelhante tenha sido usado contra o Bancor há pouco tempo. No entanto, o Bancor sofreu um exploit, não um backdoor intencional criado pelos desenvolvedores, explicou Manuskin.

Ele também observou que o desenvolvedor do UniCats cria contratos inteligentes adicionais para cada nova vítima para cobrir seus rastros. O desenvolvedor então move os fundos roubados para o mixer Tornado Cash – uma maneira de tornar mais difícil para as empresas de análise de blockchain rastrearam o dinheiro.

Manuskin instou os usuários a aprovar apenas os tokens que desejam gastar – uma vez que o valor aprovado vai para zero depois que o contrato o usa – ou revogar o acesso aos seus fundos posteriormente.

Publicidade

“Grande parte do problema é causado pelo fato de os usuários serem cúmplices em aprovar quantidades infinitas, já que este é o padrão em dapps populares também”, explicou ele ao Decrypt, acrescentando que “No lado do dapp, eles deveriam considerar apenas a promoção para permitir a quantidade necessária, mesmo que cause transtorno ao usuário. No lado da carteira, as carteiras devem alertar o usuário de que estão dando permissão para todos os seus tokens atuais e futuros. ”

*Traduzido e editado com autorização da Decrypt.co
VOCÊ PODE GOSTAR
Moeda dourada de Bitcoin sobre bandeira dos Estados Unidos ao lado de uma caneta esferográfica

‘Crypto Week’: EUA definem futuro das criptomoedas em semana histórica; veja o cronograma no Congresso

A Crypto Week pode marcar a aprovação histórica de projetos cruciais para o setor, incluindo regras para stablecoins e proibição de CBDCs
passaporte e pedido de visto para os Emirados Árabes

Governo dos Emirados nega vínculo entre Toncoin (TON) e concessão de Golden Visa

Autoridades afirmaram que criptomoedas não garantem visto e alerta para risco de fraude em anúncios não oficiais
Imagem da matéria: Como um hacker gastou apenas R$ 15 mil para roubar R$ 800 milhões de bancos do Brasil

Como um hacker gastou apenas R$ 15 mil para roubar R$ 800 milhões de bancos do Brasil

Os hackers lavaram cerca de R$ 230 milhões dos fundos roubados usando Bitcoin, Ethereum e Tether, segundo um investigador especializado em blockchain
Imagem da matéria: Republicanos dos EUA lançam 'Semana Cripto' para impulsionar leis sobre ativos digitais

Republicanos dos EUA lançam ‘Semana Cripto’ para impulsionar leis sobre ativos digitais

Republicanos da Câmara dos EUA coordenam ofensiva legislativa para reformular a regulação cripto no país e barrar futuras moedas digitais emitidas pelo governo