Imagem da matéria: Usuário de Ethereum sofre golpe de US$ 140 mil em tokens Uniswap (UNI)
Uniswap (UNI) (Foto: Shutterstock)

Um usuário do Ethereum perdeu US$ 140.000 (R$ 770 mil) em UNI, o token de governança da plataforma de finanças descentralizadas (DeFi) Uniswap, de acordo com Alex Manuskin, do time de research da carteira ZenGo.

No fim de semana passado, o usuário de pseudônimo “Jhon Doe”, topou com um novo esquema de yield farming chamado UniCats e decidiu transferir alguns tokens UNI para seu pool de liquidez.

Publicidade

No processo, a plataforma pediu permissão para gastar um número ilimitado de tokens – o que Doe concordou, uma vez que é uma prática relativamente comum no mercado DeFi. Depois de colher alguns tokens MEOW, o usuário tirou seus token UNI do pool.

Mal sabia ele que o desenvolvedor do UniCats criou uma backdoor no contrato inteligente que deu a ele controle sobre os tokens mesmo depois que eles fossem retirados da plataforma.

“O que Jhon não sabe é que, uma vez que você aprovou o contrato para usar tokens [infinitos], o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema defarm”, disse Manuskin.

Graças a esse backdoor, o criador do UniCats foi capaz de usar a chamada “setGovernance” para capturar os tokens de Doe. Em duas transações rápidas, o usuário perdeu 26.000 e 10.000 UNI – no valor de cerca de US$ 94.000 e US$ 38.000, respectivamente. Os tokens foram trocados por pouco mais de 416 Wrapped Ether (cerca de US$ 147.000) no Uniswap. E Doe não foi a única vítima.

Publicidade

“Os $ 140.000 são de apenas uma vítima. O golpista ganhou pelo menos US$ 50.000 a mais com outras vítimas. Pode ser ainda mais, é um pouco difícil de quantificar, pois é em transações separadas”, disse Manuskin ao Decrypt.

Ele acrescentou que esta é a primeira vez que ele vê esse tipo de ataque usado deliberadamente em pools de far,, embora um hack semelhante tenha sido usado contra o Bancor há pouco tempo. No entanto, o Bancor sofreu um exploit, não um backdoor intencional criado pelos desenvolvedores, explicou Manuskin.

Ele também observou que o desenvolvedor do UniCats cria contratos inteligentes adicionais para cada nova vítima para cobrir seus rastros. O desenvolvedor então move os fundos roubados para o mixer Tornado Cash – uma maneira de tornar mais difícil para as empresas de análise de blockchain rastrearam o dinheiro.

Manuskin instou os usuários a aprovar apenas os tokens que desejam gastar – uma vez que o valor aprovado vai para zero depois que o contrato o usa – ou revogar o acesso aos seus fundos posteriormente.

Publicidade

“Grande parte do problema é causado pelo fato de os usuários serem cúmplices em aprovar quantidades infinitas, já que este é o padrão em dapps populares também”, explicou ele ao Decrypt, acrescentando que “No lado do dapp, eles deveriam considerar apenas a promoção para permitir a quantidade necessária, mesmo que cause transtorno ao usuário. No lado da carteira, as carteiras devem alertar o usuário de que estão dando permissão para todos os seus tokens atuais e futuros. ”

*Traduzido e editado com autorização da Decrypt.co
VOCÊ PODE GOSTAR
Silhueta de pessoa jogando videogame À frente de TV

Tokens de jogos desabam junto com queda do Bitcoin antes do halving

Tokens importantes como Gala Games, Pixels, Portal e Xai caíram 30% ou mais na semana passada, com alguns estabelecendo novas mínimas
Imagem da matéria: Mercado se anima com futuros de Bitcoin na B3, mas analistas apontam riscos para investidores iniciantes

Mercado se anima com futuros de Bitcoin na B3, mas analistas apontam riscos para investidores iniciantes

B3 lançou na última quarta o contrato futuro de Bitcoin, mas especialistas lembram que o produto oferece muitos riscos
predio com logo da corretora binance

Binance desiste de registro em Portugal e pode voltar à Índia com multa de US$ 2 milhões

Em Portugal, a empresa não conseguiu dar conta de uma série de pressupostos essenciais para o licenciamento da operação a nível nacional, diz mídia local
Celular com o logo da OpenSea e imagens NFT

CEO do OpenSea fala sobre o futuro do mercado de NFTs mais popular do mercado

Devin Finzer falou sobre Bitcoin Ordinals, o lançamento de um token e o suporte para NFTs ERC721-C, um passo em direção ao OpenSea 2.0