Напомним, тот день стал настоящим испытанием для сети Эфириума. Поскольку многие пользователи получили по сути бесплатные деньги, они решили зафиксировать доход, продав токены UNI в обмен на эфиры. Для этого им пришлось проводить транзакции. Пользователям криптовалютных бирж нужно было отправлять монеты на собственный кошелёк, в то время как любители децентрализованной платформы Uniswap были вынуждены провести как минимум две операции — сначала одобрить токен UNI, а уже после этого осуществить непосредственную продажу.
В итоге 17 сентября в сети Эфириума зафиксировали исторический максимум проведённых транзакций. Их было 1 406 016. Максимум легко заметен на графике. Приводим иллюстрацию для наглядности.
И хотя с тех пор прошло три недели, токены UNI продолжают пользоваться популярностью, поскольку они в том числе позволяют зарабатывать на платформе Uniswap. Именно поэтому пока одни получатели бесплатных монет продавали за эфиры, другие скупали UNI ради дальнейшего заработка. К сожалению, один из обладателей токенов в эквиваленте 140 тысяч долларов потерял своё состояние. Виной стали разработчики мошеннического проекта.
Как мошенники могут украсть криптовалюту?
Анонимный пользователь Jhon Doe — такой псевдоним с опечаткой ему выбрали из соображений приватности — потерял эквивалент более 140 тысяч долларов в UNI, пытаясь добыть больше токенов через мошеннический проект для доходного фермерства под названием UniCats. Деталями инцидента у себя в Твиттере поделился исследователь компании-разработчика криптовалютного кошелька ZenGo Алекс Манускин.
Напомним, доходное фермерство называется yield farming. Здесь речь идёт о вложении средств в различные DeFi-протоколы, а также их последующее реинвестирование. Любитель децентрализованных финансов в состоянии инвестировать в разные направления по типу предоставления ликвидности, займов и так далее. Иначе говоря, он блокирует свои монеты, а они приносят ему новые токены.
Подобных проектов сейчас существует очень много, ведь DeFi стал главным хитом этого лета. К сожалению, некоторые из них являются заведомо мошенническими. То есть разработчики специально оставляют так называемый бэкдор — то есть дырку в коде — с помощью которого они затем крадут чужие токены и исчезают. Примером подобного проекта в данном случае стал UniCats.
Jhon Doe перешел на сайт проекта UniCats и одобрил запрос платформы на трату неограниченного количества токенов. В сфере доходного фермерства такой запрос является достаточно распространенным явлением, поэтому пользователь не обратил на него особого внимания и занялся фармингом токенов MEOW.
То есть он заблокировал свои UNI и получал в качестве награды другие монеты под названием MEOW.
Однако в смарт-контракте платформы был бэкдор — лазейка, ранее созданная его разработчиком. Благодаря ей он смог завладеть токенами Jhon Doe даже после того, как тот вывел их из платформы.
Представляю UniCat, владельца фермы UniCorns. UniCat — жадный козёл. Мало того, что проект был рагпуллом и мошенничеством, его разработчики также хотят получить все токены пользователей после одобрения.
Introducing UniCat 👿, the owner of the UniCats farm. UniCat is a greedy bastard. Not only was the whole thing a rug pull and a scam, it also wants to go after all the approved tokens of the users.
— Alex Manuskin (@amanusk_) October 5, 2020
Собственно, это и было сделано: мошенник вызвал функцию setGovernance и двумя транзакциями переслал на свой кошелек 26 тысяч и 10 тысяч UNI жертвы. То есть это было провернуто уже после того, как пользователь вернул свои монеты себе. Здесь виновато одобрение запроса на трату неограниченного количества токенов.
UniCat добавили бэкдор к контракту фарминга. Любой владелец может использовать функцию «setGovernance» с привилегией вызывать любые переданные данные на любой адрес.
UniCat adds a backdoor to the farming contract. Anyone who is the owner can call the "setGovernance" method, with the privilege to call any passed data, to any address. pic.twitter.com/rOvmtZ82xP
— Alex Manuskin (@amanusk_) October 5, 2020
Затем эти токены были обменены на 416 wETH или примерно 147 тысяч долларов по текущему курсу Эфириума. И это «доход» мошенника всего с одной жертвы, отметил Манускин в интервью журналистам новостного издания Decrypt. Вот его реплика.
Более 140 тысяч долларов получено только от одной жертвы. Мошенник заработал еще 50 тысяч долларов за счет других жертв. Пострадавших может быть и больше — их точное количество тяжело установить из-за большого количества отдельных транзакций.
Кроме того, создатель UniCats умело заметает следы: для каждой отдельной жертвы он создает новый смарт-контракт, чтобы его не отследили. После вывода монет мошенник перенаправляет их в миксер Tornado Cash, где его криптовалюта перемешивается с чужой. Таким образом он минимизирует шансы на собственную поимку.
Чтобы замести следы, для каждой новой жертвы он создает новый смарт-контракт и передает право собственности на фарминг новому контракту.
UniCat is a cunning bastard. To cover their tracks, for each new victim, it creates a new smart contract and passes the ownership of the farm to the new contract.https://t.co/hWiR9AKWXr
— Alex Manuskin (@amanusk_) October 5, 2020
Это интересно: Как судебный иск против биржи BitMEX повлияет на криптовалюты из децентрализованных финансов?
Чтобы не стать жертвой в подобных инцидентах, Манускин советует пользователям делать одобрение траты только тех монет, которые те готовы потратить. Ну и взаимодействовать нужно со смарт-контрактами, прошедшими аудит.
Никогда не утверждайте траты большего количества токенов, чем нужно. Особенно для неаудированных контрактов.
Напоминаем еще раз. Сфера децентрализованных финансов — это молодой сектор криптоиндустрии, в котором очень много мошенников. Если вы связываете свой кошелек с какой-то платформой или смарт-контрактом, внимательно читайте условия работы, иначе все может закончиться очень плачевно.
Мы считаем, что пользователю действительно не повезло, ведь вернуть его средства уже не получится. Конечно, в данном случае виновниками ситуации являются мошенники, а не сама ниша DeFi. Просто вокруг последней всё ещё есть хайп, которым и пользуются нечистые на руку разработчики.
Будем надеяться, что со временем пользователи будут всё лучше разбираться в контрактах и выбирать только те проекты, которые уже прошли независимый аудит. А пока без подобных жертв, увы, не обойтись. Так что рекомендуем связываться только с популярными новинками, разработчики которых известны представителям криптовалютного сообщества.
За другими новостями заглядывайте в наш крипточат миллионеров. Также не забудьте подписаться на нас в Яндекс Дзене, где выходят публикации, которых нет на сайте.