Els mails d’UniCats produeixen agricultors a mesura que s’acaba el bombo del mercat DeFi

DeFi Digest d’OKEx Insights és un examen setmanal de la indústria financera descentralitzada.

Instantània del mercat DeFi

El mercat de les finances descentralitzades va caure aquesta setmana, ja que el valor total bloquejat en els productes DeFi va caure d’11.100 milions de dòlars a 10.100 milions de dòlars.

Uniswap va mantenir la seva posició de líder del mercat amb una quota de mercat del 22% del valor total en dòlars bloquejat. L’intercanvi descentralitzat també tenia el fons de liquiditat més gran i va ampliar la dominància del volum de negociació del 54% al 62%.

En l’àmbit dels préstecs descentralitzats, Compound va continuar dominant amb una quota de mercat del 49%. Aave ocupava el segon lloc amb una quota de mercat del 37%.

Algunes mètriques clau al món DeFi han vist disminuir aquesta setmana. Fonts: Pols DeFi i DeBank

Fitxes DeFi nedant en un mar de vermell

Ha estat una setmana relativament estàtica pel que fa als principals desenvolupaments de DeFi. La compra d’interès per als tokens DeFi va disminuir i això va provocar vendes per a la majoria de projectes. Com a resultat, el mercat més ampli de DeFi estava inundat en un mar vermell, ja que algunes fitxes van veure disminuir dràsticament els preus.

La majoria de les fitxes DeFi van patir pèrdues aquesta setmana, amb algunes pitjors que altres. Font: Moneda360

DFI.money és el principal perdedor amb una pèrdua de valor del 52%. Els principals fabricants de mercats automatitzats també van ser un dels més afectats durant les vendes d’aquesta setmana: Curve (CRV), SushiSwap (SUSHI) i Uniswap (UNI) van patir pèrdues setmanals aproximadament del 45%, 44% i 26%, respectivament..

UniCats va maltractar els agricultors de rendiment

UniCats, un protocol DeFi de producció agrícola similar al finançament de SushiSwap o YAM, va cridar l’atenció de la comunitat DeFi aquesta setmana, ja que els usuaris van perdre els seus saldos simbòlics com a resultat directe dels contractes intel·ligents malintencionats.

Tal com va donar a conèixer l’investigador de ZenGo, Alex Manuskin, un usuari anònim, batejat "Jhon Doe," perdut Les fitxes de governança UNI valen 140.000 dòlars quan van participar en l’agricultura de rendiments d’UniCats. Les dades d’Etherscan mostren que l’usuari que s’examina va perdre gairebé 26.757 UNI i 10.703 UNI en dues transaccions el 4 d’octubre.

Usuari anònim de Twitter "Jhon Doe" va perdre més de 37.000 UNI en dues transaccions. Font: Etherscan

Una escletxa comuna i perillosa a DeFi

L’incident d’UniCats ha tornat a exposar una pràctica comuna i perillosa en l’esfera de DeFi, és a dir, que els operadors de protocols poden sol·licitar l’autorització per retirar una quantitat il·limitada de fitxes de les carteres dels clients. Aquesta pràctica la pot fer UniCats "setGovernance" funció, que permet a la plataforma tenir un control total sobre els actius dels usuaris, fins i tot després que els usuaris retiressin els seus actius d’UniCats.

En el cas que "Jhon Doe," l’usuari va dipositar per primera vegada UNI a UniCats per participar en la producció de rendiments. De manera similar al missatge d’aprovació d’altres protocols DeFi de producció de rendiments, van aprovar el missatge a MetaMask per executar el dipòsit d’UNI. No obstant això, l’usuari no era conscient que el missatge d’aprovació permet a UniCats retirar les seves fitxes en qualsevol moment.

El missatge d’aprovació de MetaMask permet a DApps gastar les fitxes dels usuaris. Font: Alex Manuskin a Twitter

Segons Manuskin, UniCats explota els fons dels usuaris creant primer un nou contracte intel·ligent i passant la propietat de la granja al nou contracte. Quan un usuari diposita fons al contracte intel·ligent, UniCats pot retirar la UNI i canviar-los per Ether a Uniswap. Després de canviar els fons a Uniswap, l’ETH es transferirà a l’adreça d’UniCats. Per cobrir les pistes dels fons robats, l’equip d’UniCats va traslladar i barrejar transaccions massives de 100 ETH amb altres fons a través de Tornado.cash.

UniCats no és el primer protocol DeFi que pateix una llacuna de contracte intel·ligent que autoritza infinites retirades. Bancor Network, un protocol de liquiditat en cadena, identificat una bretxa similar el 17 de juny que permet als pirates informàtics robar fons als usuaris que van interactuar amb el contracte intel·ligent de Bancor. Quan l’equip de Bancor va reconèixer la vulnerabilitat, la va fer decidit atacar el contracte amb barret blanc abans que actors maliciosos puguin esgotar els fons dels usuaris.

Llacunes i limitacions de token ERC-20

Les llacunes del contracte intel·ligent que autoritzen retirades infinites provenen de les limitacions d’ERC-20. Els contractes intel·ligents basats en l’estàndard ERC-20, com ara Bancor i UniCats, no poden detectar si un usuari ha transferit els fons al contracte. El contracte requereix una aprovació predeterminada per transferir o retirar fons en nom de l’usuari. Normalment, l’aprovació s’ha definit com una retirada infinita, que mitigava les taxes de gasolina i els terminis d’aprovació.

Els estàndards alternatius de testimoni van intentar resoldre aquesta lacuna. Per exemple, l’estàndard ERC-223 elimina la necessitat d’aprovar les retirades. No obstant això, l’adopció de l’estàndard ERC-223 és limitat a causa de l’ús excessiu de gas i de la fricció creada en migrar dades de l’ERC-20 a l’estàndard ERC-223.

En un comentari a OKEx Insights, Manuskin creu que és més segur que els agricultors de rendiment només inverteixin en protocols DeFi ben establerts i auditats. Va explicar:

"La interacció amb les granges depèn del risc que vulgueu assumir. Sempre hi ha la via segura d’utilitzar només contractes ben establerts i auditats. Això no garanteix cap problema de seguretat, però és molt millor que res. Alguns usuaris poden voler “degenerar” en nous projectes que potser no tenen temps de sotmetre’s a una auditoria oficial. Naturalment, això és més arriscat. [Però] si el projecte té un valor real, els propis membres de la comunitat poden llegir el contracte i fer una auditoria informal."

A més, Manuskin creu que els usuaris haurien de prestar atenció als contractes que es puguin actualitzar, ja que presenten una situació especialment perillosa. Va assenyalar:

"Cal tenir en compte els contractes que es poden actualitzar. Aquest és un patró de disseny comú, però si hi ha un únic propietari que pot realitzar l’actualització, confieu que no abusin del seu poder. Podrien actualitzar el contracte a un contracte maliciós, fins i tot si al principi és completament segur."

Sigues un agricultor de rendiment racional

El cas de "Jhon Doe" i UniCats és només una instantània de l’estat actual de la producció agrícola, on els usuaris estan disposats a establir protocols DeFi desconeguts o no auditats per maximitzar els seus rendiments. Això també es pot comprovar en el recent incident de seguretat d’Eminence Finance. Un protocol DeFi inacabat del fundador de yield.finance, Andre Cronje, Eminence patit d’un atac de 15 milions de dòlars, però, la meitat dels fons van ser retornats. Tot i que Cronje va afirmar que el protocol Eminence es trobava en fase de proves, alguns agricultors donen rendiments encara abocat els seus fons al protocol, sense entendre com funciona.   

Amb el bombo que envolta l’agricultura de rendiments que comença a desaparèixer, els casos recents d’UniCats i Eminence poden estar proporcionant una bona raó perquè els agricultors de rendiments es detinguin i es dediquin el temps a invertir racionalment. Cronje també va donar consells similars als rendidors dels agricultors quan va implorar, "Si no ho enteneu, no l’utilitzeu."

OKEx Insights presenta anàlisis de mercat, característiques detallades, investigacions originals & notícies de professionals de criptografia.