DeFi吸金騙局?耕收項目 UniCats 在合約嵌入惡意函式,誆走「20萬美元UNI」

加密貨幣錢包商 ZenGo 的研究人員馬努什金(Alex Manuskin)在昨晚發表的一系列推文,披露一個名為 UniCats 的 DeFi 項目疑似在程式碼中嵌入惡意代碼,造成至少一位用戶丟失價值 14 萬美元的 UNI,再次引起眾人對 DeFi 協議審計需求的關注。
(資安事件補充:資安月報|DeFi 詐騙、跑路頻發!9 月安全事件共 33 起,危害程度評級 HIGH

 

究人員馬努什金昨(5)日推文表示,DeFi 流動性挖礦項目 UniCats 在智能合約中嵌入了一個狡猾的函數,允許項目方保留對用戶資金的控制權,UniCats 背後團隊便藉此奪走了眾多用戶總計約價值 20 萬美元的加密貨幣。

一夜清空

馬努什金講述了一個故事。一位匿名用戶在以太坊上找到了名為 UniCats 的新 DeFi 協議,毫無戒心地拿出了一部分 Uniswap 的治理代幣 UNI 存入 UniCats 的流動性資金池;在批准 UniCats 協議動用其錢包中的資金,匿名用戶就開始挖掘 UniCats 的治理代幣 MEOW。

挖了一段時間後,在該匿名用戶認為差不多該提出放置在資金池中的 UNI 時,意外就發生了。馬努什金表示,這位匿名用戶不知道的是,一但他同意 UniCats 協議對其投入資金的使用權,只要不取消同意,UniCats 協議就擁久握有了對該資金的控制權,即便是在用戶退出協議後。

馬努什金指出,UniCats 在智能合約的程式碼中嵌入了一行 setGovernance 函式,該函式允許協議控制人將任何數據傳遞至任何地址;如此,UniCats 背後團隊就將該匿名用戶的 UNI 拿去 Uniswap 上兌換成以太幣(ETH),然後揚長而去。

總計,這位在馬努什金故事中的悲劇主角,共計損失了約 36,000 枚 UNI。

狡猾的智能合約

馬努什金表示,UniCats 背後的開發團隊是一群狡猾的混蛋,他們為了掩人耳目,會在每一個新用戶進場時將 UniCats 的流動性資金池所有權轉移至新的智能合約上,並且每次都會提取出部分資金,再到 Uniswap 上兌換成以太幣,才轉入 UniCats 手上的錢包。

據了解,除了馬努什金故事中的爐主,另外還有其他受害者約損失了 50,000 美元。馬努什金認為,實際受害金額只會更高,因為 UniCats 在兌換成以太幣後,立即就透過混幣器 Tornado.cash 試圖消抹鏈上蹤跡,也意味著這些資金的追回難度大大提高了。

毫無疑問地,這再度凸顯了 DeFi 協議需要經過審計的重要性。在 DeFi 崛起後,許多項目都是未經審計便直接面向用戶,瞄準著 DeFi 使用者們一頭熱的心態,大肆搜刮被流動性挖礦吸入的資金,接著便拂袖離去,顯得毫不費力。

DeFi 困境

值得一提的是,類似的攻擊也曾發生在另一個 DeFi 協議 Bancor 身上。今年 6 月中旬,Bancor 就在檢測時發現智能合約中出現嚴重漏洞,造成約 590,000 美元面臨被盜風險;不過,與 UniCats 不同,Bancor 並非刻意在程式碼中置入後門。

另一方面,造成 UniCats 這種惡意協議出現的原因,馬努什金認為正是現下流行的無限次批准造成的。目前,多數以 ERC-20 協議發行的 DeFi 項目,通常通設置無限次批准機制,意即用戶僅需花費一次性的 Gas 費,無需再分多次批准每筆協議請求:

很多問題都是由於用戶無限次批准協議使用權造成的,畢竟這也是目前 DApp 最流行的用法 ⋯⋯ 對於 DApp 項目方來說,他們應該考慮僅供有限次的必要批准,就算這會造成用戶的不便;錢包方面,應該提醒用戶他們正在授權代幣使用權。

📍相關報導📍

九月交易量超越 Coinbase 位居第四!Uniswap 能延續氣勢,挽救狂跌的 UNI?

比特幣DeFi|BitGo聯手Chainlink預言機,使「10億美元wBTC 」獲取儲備證明

加密貨幣「市場結構」迭代史:這是第3次的大變異,CeFi、DeFi或將融合


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友