Imagem da matéria: Usuário de Ethereum sofre golpe de US$ 140 mil em tokens Uniswap (UNI)
Uniswap (UNI) (Foto: Shutterstock)

Um usuário do Ethereum perdeu US$ 140.000 (R$ 770 mil) em UNI, o token de governança da plataforma de finanças descentralizadas (DeFi) Uniswap, de acordo com Alex Manuskin, do time de research da carteira ZenGo.

No fim de semana passado, o usuário de pseudônimo “Jhon Doe”, topou com um novo esquema de yield farming chamado UniCats e decidiu transferir alguns tokens UNI para seu pool de liquidez.

Publicidade

No processo, a plataforma pediu permissão para gastar um número ilimitado de tokens – o que Doe concordou, uma vez que é uma prática relativamente comum no mercado DeFi. Depois de colher alguns tokens MEOW, o usuário tirou seus token UNI do pool.

Mal sabia ele que o desenvolvedor do UniCats criou uma backdoor no contrato inteligente que deu a ele controle sobre os tokens mesmo depois que eles fossem retirados da plataforma.

“O que Jhon não sabe é que, uma vez que você aprovou o contrato para usar tokens [infinitos], o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema defarm”, disse Manuskin.

Graças a esse backdoor, o criador do UniCats foi capaz de usar a chamada “setGovernance” para capturar os tokens de Doe. Em duas transações rápidas, o usuário perdeu 26.000 e 10.000 UNI – no valor de cerca de US$ 94.000 e US$ 38.000, respectivamente. Os tokens foram trocados por pouco mais de 416 Wrapped Ether (cerca de US$ 147.000) no Uniswap. E Doe não foi a única vítima.

Publicidade

“Os $ 140.000 são de apenas uma vítima. O golpista ganhou pelo menos US$ 50.000 a mais com outras vítimas. Pode ser ainda mais, é um pouco difícil de quantificar, pois é em transações separadas”, disse Manuskin ao Decrypt.

Ele acrescentou que esta é a primeira vez que ele vê esse tipo de ataque usado deliberadamente em pools de far,, embora um hack semelhante tenha sido usado contra o Bancor há pouco tempo. No entanto, o Bancor sofreu um exploit, não um backdoor intencional criado pelos desenvolvedores, explicou Manuskin.

Ele também observou que o desenvolvedor do UniCats cria contratos inteligentes adicionais para cada nova vítima para cobrir seus rastros. O desenvolvedor então move os fundos roubados para o mixer Tornado Cash – uma maneira de tornar mais difícil para as empresas de análise de blockchain rastrearam o dinheiro.

Manuskin instou os usuários a aprovar apenas os tokens que desejam gastar – uma vez que o valor aprovado vai para zero depois que o contrato o usa – ou revogar o acesso aos seus fundos posteriormente.

Publicidade

“Grande parte do problema é causado pelo fato de os usuários serem cúmplices em aprovar quantidades infinitas, já que este é o padrão em dapps populares também”, explicou ele ao Decrypt, acrescentando que “No lado do dapp, eles deveriam considerar apenas a promoção para permitir a quantidade necessária, mesmo que cause transtorno ao usuário. No lado da carteira, as carteiras devem alertar o usuário de que estão dando permissão para todos os seus tokens atuais e futuros. ”

*Traduzido e editado com autorização da Decrypt.co
VOCÊ PODE GOSTAR
celular com logo da circle usd coin USDC com grafico ao fundo

Circle integra USDC aos sistemas de pagamento do Brasil

A Circle agora suporta transferências bancárias locais via Pix
Ilustração do austronauta Moonbix jogo da Binance no Telegram

Moonbix: Conheça o novo jogo cripto da Binance no Telegram

O Moonbix requer que o jogador controle um cabo acoplado em uma nave espacial para colher caixas de presente
moeda de bitcoin com bandeira dos EUA

Debate entre Trump e Harris acontece hoje e investidores não estão otimistas a menções sobre criptomoedas

As chances de menção ao Bitcoin ou às criptomoedas são de apenas 13% no Polymarket
Imagem da matéria: Telegram causa indignação com mudança no FAQ que sugere fiscalização de chats

Telegram causa indignação com mudança no FAQ que sugere fiscalização de chats

Apesar de o Telegram ter removido a afirmação de que os chats são privados, outra parte da seção de FAQ ainda mantém essa declaração