一名未知用户在将Uniswap去中心化交易所令牌放置在UniCats项目池中后,掏出了14万美元。 ZenGo研究人员Alex Manuskin透露了一个详细的故事。
如果您还不确定您不应该批准一些随机智能合约/ Dapp的无限代币,那么这就是Jhon Doe如何在他们的睡眠中损失价值14万美元的UNI的故事。 1 /????pic.twitter.com/QltkevnzDY
-2020年10月5日,Alex Manuskin(@amanusk_)
专家指出,有条件的一位乔遇到了一个奇怪的赚钱农业计划,即UniCats。 考虑到它可以复制yEarn Finance(YFI)的成功,用户决定贡献一些UNI。 他从MetaMask收到一条“好旧”消息:“让这个Dapp花费您的UNI。” Joe认为这是所有类似DeFi协议的标准做法,对此表示同意。
Jhon决定存入一些$ UNI,并从Metamask那里收到了一条很好的旧的“允许此Dapp花费您的UNI”消息,然后思考。 “哦,这又是。 是的,所有农业Dapp都这样做,为什么不?????♂?”并批准交易pic.twitter.com/qhghToDC0s
-2020年10月5日,Alex Manuskin(@amanusk_)
生长了几个MEOW代币后,他输出UNI。
“乔没有意识到,一旦获得授权,智能合约就可以随时提取代币。 研究人员指出,即使在将它们从项目中删除后,也是如此。
Jhon不知道的是,一旦您批准合同使用∞代币,合同就可以随时获取其代币。 即使他们从农业计划中撤出了。
-2020年10月5日,Alex Manuskin(@amanusk_)
Unicat的创建者在智能合约中提供了后门。 攻击者以26,000(?$ 94,000)和10,000 UNI(?$ 38,000)进行了两次交易。 特遣队乔不是唯一的受害者。
Jhon在睡觉时损失了26K UNI,然后又损失了10K UNIhttps://t.co/ujtcoqjD2lhttps://t.co/krCBzjX3A1 pic.twitter.com/jbqgTAC6zN
-2020年10月5日,Alex Manuskin(@amanusk_)
“ 14万美元仅来自一名受害者。 其余的犯罪分子至少赚了5万美元。 实际数量可能会更高。 研究人员在接受Decrypt采访时解释说,由于提款是在单独的交易中进行的,因此很难评估。
Manuskin补充说,这是他第一次在DeFi项目中遇到这种攻击。 他解释说,Bancor合同也出现了类似情况,但是存在漏洞,并且没有专门安装的后门。 研究人员强调,Unicat管理员已经制定了一个聪明的方案。 为了掩盖自己的足迹,他们为每个新的受害者创建了一个新的智能合约,并将池的所有权转让给它。 每个新合同分配一部分资金,将其换成Uniswap,然后将其转移到Unicat拥有的地址中。 然后将被盗的ETH以100 ETH的数量转移到Tornado Cash混合器中。
每份新合同都会捞出一些资金,在Uniswap上将其交换,然后将其传递给UniCat拥有的地址。 然后将被窃取的ETH转移到@TornadoCash中,以100ETH的体积进行转移,然后继续转移到下一个受害者https://t.co/N8A4ULC2tp
-2020年10月5日,Alex Manuskin(@amanusk_)
“乔醒来后发现自己已经损失了一半的UNI。 他发誓不再从事“有利可图的农业”,并从帐户中提取所有资金。 UniCat继续寻找新的受害者,” Manuskin结束了故事,并添加了一些关于如何不重复这种经历的提示。
Jhon Doe醒来后发现他们一半的UNI资产已经消失,宣誓就职,并将所有资金从帐户中移出。 UniCat继续捕捞更多受害者https://t.co/fXEpnMES7t
-2020年10月5日,Alex Manuskin(@amanusk_)
9月,ForkLog在Tomatos.finance DeFi项目中报道了类似的计划。 当他们访问该站点时,潜在的受害者可以授予触发将令牌撤回第三方地址的权限。 提醒一下,早期对欺诈性质的怀疑是由两个项目引起的-EMD和LV Finance。 Forklog上的Ton Weiss表示,所有DeFi项目均具有Ponzi签名。 在Telegram上订阅ForkLog新闻:ForkLog FEED-整个新闻Feed,ForkLog-最重要的新闻和民意测验。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。