De nombreux agriculteurs de rendement ont perdu plus qu’ils ne l’avaient négocié lorsqu’ils faisaient confiance à ce développeur DeFi

Please follow and like us:

Les agriculteurs de rendement à la recherche d’un profit rapide ont récemment été pris en charge par un protocole DeFi douteux appelé UniCats – un programme de production de rendement qui rappelle d’autres protocoles plus célèbres comme SushiSwap ou Yam Finance.

Selon le chercheur de ZenGo Alex Manuskin, au moins un de ses utilisateurs vaut plus de 140000 dollars de jetons UNI d’Uniswap, même après avoir retiré ses fonds du protocole. D’autres utilisateurs ont perdu environ 50000 dollars de plus, a déclaré Manuskin à Cointelegraph.

Les utilisateurs ont été victimes d’une pratique dangereuse couramment observée dans DeFi, où la plupart des protocoles demanderont l’autorisation de retirer des quantités illimitées d’un jeton particulier du portefeuille du client. , les applications décentralisées comme Compound, Uniswap, Kyber et d’autres offrent souvent des allocations infinies. Cela permet aux contrats intelligents de traiter autant d’un jeton donné qu’ils le souhaitent au nom de chaque propriétaire de portefeuille.

Certains portefeuilles permettront aux utilisateurs d’ajuster manuellement un montant approuvé, bien qu’il soit généralement défini sur la valeur maximale possible par défaut.

Tel était le cas avec UniCats, a expliqué Manuskin: «Non seulement tout cela était un tirage au sort et une arnaque, mais il veut également s’attaquer à tous les jetons approuvés des utilisateurs.»

Le contrat UniCats contenait une fonction sournoise «setGovernance» qui permet à son propriétaire d’appeler n’importe quelle fonction au nom du contrat. Les utilisateurs ayant accordé des approbations infinies à ce contrat, le développeur a pu drainer l’intégralité des soldes UNI de ses utilisateurs.

Les jetons ont été immédiatement vendus pour Ether (), qui a ensuite été envoyé à Tornado Cash pour être mélangé, ce qui a conduit beaucoup à se demander si ces actions étaient préméditées.

L’incident met en évidence l’importance de ne déléguer des fonds qu’à des projets approuvés et réputés. À la suite de la manie de l’agriculture de rendement, de nombreuses fermes de rendement moins connues ont été créées pour capitaliser sur la tendance. Malheureusement, ils étaient souvent de simples gains d’argent et comportaient différents types de portes dérobées. De nombreux agriculteurs de rendement ont été «tirés au sort» et leurs fonds ont été drainés lors d’incidents similaires.

La différence avec UniCats est que les «constructeurs» se limitaient généralement aux jetons engagés dans le protocole. Le mécanisme d’allocation infinie permet au contrat de retirer à tout jamais chaque jeton du portefeuille de l’utilisateur. Le portefeuille est complètement compromis jusqu’à ce que l’approbation soit levée, ce qui signifie que tout nouveau jeton envoyé à l’adresse peut être volé de la même manière.

Le mécanisme d’approbation est rendu nécessaire par une limitation de la norme ERC-20 utilisée pour les jetons Ethereum. Les DApp et les contrats intelligents ne peuvent pas détecter si un utilisateur a transféré des fonds vers le contrat. Par conséquent, le contrat transfère l’argent au nom de l’utilisateur, ce qui nécessite une approbation prédéfinie. Des normes plus récentes comme ERC-777 corrigent cette faille, bien que ce type de jeton présente toujours des vulnérabilités et.

La justification de la définition des approbations infinies est que les utilisateurs économisent sur les frais de gaz et le temps en n’ayant pas à approuver chaque transaction séparément. Cependant, comme le, tout compromis d’un contrat sur toute la ligne expose ses utilisateurs au vol, même s’ils n’ont pas interagi avec le protocole depuis un certain temps.

Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *