Imagem da matéria: Usuário de Ethereum sofre golpe de US$ 140 mil em tokens Uniswap (UNI)
Uniswap (UNI) (Foto: Shutterstock)

Um usuário do Ethereum perdeu US$ 140.000 (R$ 770 mil) em UNI, o token de governança da plataforma de finanças descentralizadas (DeFi) Uniswap, de acordo com Alex Manuskin, do time de research da carteira ZenGo.

No fim de semana passado, o usuário de pseudônimo “Jhon Doe”, topou com um novo esquema de yield farming chamado UniCats e decidiu transferir alguns tokens UNI para seu pool de liquidez.

Publicidade

No processo, a plataforma pediu permissão para gastar um número ilimitado de tokens – o que Doe concordou, uma vez que é uma prática relativamente comum no mercado DeFi. Depois de colher alguns tokens MEOW, o usuário tirou seus token UNI do pool.

Mal sabia ele que o desenvolvedor do UniCats criou uma backdoor no contrato inteligente que deu a ele controle sobre os tokens mesmo depois que eles fossem retirados da plataforma.

“O que Jhon não sabe é que, uma vez que você aprovou o contrato para usar tokens [infinitos], o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema defarm”, disse Manuskin.

Graças a esse backdoor, o criador do UniCats foi capaz de usar a chamada “setGovernance” para capturar os tokens de Doe. Em duas transações rápidas, o usuário perdeu 26.000 e 10.000 UNI – no valor de cerca de US$ 94.000 e US$ 38.000, respectivamente. Os tokens foram trocados por pouco mais de 416 Wrapped Ether (cerca de US$ 147.000) no Uniswap. E Doe não foi a única vítima.

Publicidade

“Os $ 140.000 são de apenas uma vítima. O golpista ganhou pelo menos US$ 50.000 a mais com outras vítimas. Pode ser ainda mais, é um pouco difícil de quantificar, pois é em transações separadas”, disse Manuskin ao Decrypt.

Ele acrescentou que esta é a primeira vez que ele vê esse tipo de ataque usado deliberadamente em pools de far,, embora um hack semelhante tenha sido usado contra o Bancor há pouco tempo. No entanto, o Bancor sofreu um exploit, não um backdoor intencional criado pelos desenvolvedores, explicou Manuskin.

Ele também observou que o desenvolvedor do UniCats cria contratos inteligentes adicionais para cada nova vítima para cobrir seus rastros. O desenvolvedor então move os fundos roubados para o mixer Tornado Cash – uma maneira de tornar mais difícil para as empresas de análise de blockchain rastrearam o dinheiro.

Manuskin instou os usuários a aprovar apenas os tokens que desejam gastar – uma vez que o valor aprovado vai para zero depois que o contrato o usa – ou revogar o acesso aos seus fundos posteriormente.

Publicidade

“Grande parte do problema é causado pelo fato de os usuários serem cúmplices em aprovar quantidades infinitas, já que este é o padrão em dapps populares também”, explicou ele ao Decrypt, acrescentando que “No lado do dapp, eles deveriam considerar apenas a promoção para permitir a quantidade necessária, mesmo que cause transtorno ao usuário. No lado da carteira, as carteiras devem alertar o usuário de que estão dando permissão para todos os seus tokens atuais e futuros. ”

*Traduzido e editado com autorização da Decrypt.co
Talvez você queira ler
Imagem da matéria: Grayscale faz reunião com reguladores dos EUA para debater proposta de ETF de Bitcoin

Grayscale faz reunião com reguladores dos EUA para debater proposta de ETF de Bitcoin

Analistas da Bloomberg Intelligence e do JP Morgan estimaram que a SEC provavelmente aprovará um ETF de Bitcoin à vista até o início de janeiro
Foto frontal de homem com capuz cobrindo a cara com as maõs

Exchange de criptomoedas perde US$ 50 milhões em hack e alerta: “saquem imediatamente”

Antes do incidente, a exchange descentralizada (DEX) tinha mais de US$ 80 milhões em valor total bloqueado
Celular com logotipo da BInance

Binance lista oito novos pares de negociação e remove outros 23; veja data e horários

Plataforma ampliou o número de pares de negociação para tokens como Celestia (TIA) e Pancake (CAKE)
Imagem da matéria: Bitcoin e Dogecoin físicos podem em breve chegar à Lua – literalmente

Bitcoin e Dogecoin físicos podem em breve chegar à Lua – literalmente

O plano é que as moedas sejam transportadas no foguete Vulcan Centaur, da United Launch Alliance, dos EUA