最近,追求快速利润的农民们被一个可疑的叫做unicats的DeFi协议欺骗了,这让人们想起了其他更著名的协议,比如寿司交换协议(sushiswap)或YAM金融(yam finance)。
zengo研究员Alex manuskin称,即使从Uniswap协议中提取资金,至少有一名用户丢失了价值超过14万美元的uni代币。Manusken告诉cointellegraph,其他用户损失了大约5万美元。
在这种情况下,用户需要从钱包中获取无限数量的授权,而这正是最危险的行为。正如cointegraph之前报道的那样,去中心化应用程序,如compound、Uniswap、kyber等,通常都会得到大量补贴。这使得智能合约能够代表每个钱包所有者进行任意数量的特定代币交易。
一些钱包允许用户手动调整批准的金额,尽管默认情况下,这通常设置为最大可能的金额。
Manuskin解释说unicats就是这样:“这不仅是一个骗局,也是一个骗局,它还试图获得用户的代币。”
unicats契约包含一个“setgovernance”函数,它允许它的所有者以契约的名义调用任何函数。由于合同是由用户无限期批准的,开发人员可以提取用户的所有uni代币。
提取出来的代币立即转换成以太坊(以太坊)出售,然后被送到tornado cash进行混合,这让很多人怀疑这些行动是否有预谋。
这一事件Convex显了将资金只下放给经过审查且信誉良好的项目的重要性。在产量养殖热潮之后,许多鲜为人知的项目纷纷涌现,以利用这一趋势。不幸的是,他们通常有不同类的现金抢夺者。在类似事件中,很多农民“被骗”,损失了所有的钱。
与unicats不同,构建器通常将自己局限于委托给协议的代币。慷慨的补贴允许合同永久性地从用户钱包中提取每一个代币。在批准被撤销之前,钱包将被完全窃取,这意味着发送到该地址的任何新代币都可以以同样的方式被窃取。
对于仅限于以太坊 ERC-20标准的代币,需要一个批准机制。DAPP和智能合约无法检测用户是否已将资金转移到合同中。因此,合同代表用户转移资金,这需要事先得到批准。尽管这类代币仍然存在漏洞,而且仍然可能成为盗窃的受害者,但较新的标准(如ERC-777)解决了该漏洞。
设置无限制审批的原因是用户不需要单独审批每笔交易,从而节省了GAS FEE和时间。然而,正如Bancor漏洞在6月份所显示的那样,合同中的任何妥协都可能使用户遭受盗窃,即使他们已经有一段时间没有与协议交互。
文章链接:https://www.btchangqing.cn/115047.html
更新时间:2020年10月06日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
