Исследование, проведённое блокчейн-исследователем Алексом Манускином из ZenGo, показало, что команда проекта UniCats украла токены Uniswap (UNI) на сумму около $ 200 000 у нескольких пользователей Ethereum.
Манускин считает, что в UniCats добавили бэкдор к смарт-контракту доходного фермерства, что позволило платформе получить полный контроль над токенами пользователей даже после того, как они вывели их из пула.
В подтверждении своих слов специалист рассказал, как пользователь под псевдонимом Джон Доу (имя не раскрывается из соображений конфиденциальности), потерял в результате этой аферы UNI на сумму $ 140 000.
Jhon sees a fancy new farming scheme called UniCats, and decides to put some money in. Who knows, it might be the next YFIhttps://t.co/8bHxzcTC49 pic.twitter.com/gnzHjNQyrQ
— Alex Manuskin (@amanusk_) October 5, 2020
Dapp-приложениям с доходным фермерством свойственно запрашивать у пользователей разрешение на использование бесконечного количества токенов, и один из них утвердил соответствующий запрос, что показано на скриншоте ниже:
Манускин прокомментировал, как это решение отразилось на активах пользователя, дополнив свой твит информацией из Etherscan:
Чего Джон не знает, так это то, что после утверждения использования ? количества токенов контракт может забрать их в любое время. Даже после того, как они были выведены из схемы доходного фермерства.
Чтобы замести следы, разработчики UniCats создали новые смарт-контракты для новых жертв и переместили большую часть из украденных 100 ETH в Tornado Cash, экспериментальное программное обеспечение и миксер для Ethereum, которые значительно усложняют отслеживание пункта назначения средств.
Эксперт относит эту аферу с использованием командой протоколов собственных «фермерских» пулов первой в таком роде. В то же время недавно поставщик децентрализованной ликвидности Bancor подвергся внешней атаке хакеров, которые обнаружили аналогичную уязвимость в протоколе смарт-контрактов и похитили средства пользователей.