火币网划转当他们信任这个DeFi开发者时,许多单产农民的损失超过了讨价还价。
寻求快速获利的单产农民最近被称为UniCats的可疑DeFi协议所吸引,该协议使人们想起了其他更著名的协议,例如SushiSwap或Yam Finance。
根据ZenGo的研究人员Alex Manuskin的说法,即使从Uniswap的UNI代币中删除了他们的资金后,至少有一个用户失去了价值超过14万美元的Uniswap的UNI代币。 Manuskin告诉Cointelegraph,其他用户又损失了约50,000美元。
用户成为DeFi中常见的危险行为的受害者,在DeFi中,大多数协议都会要求获得授权以从客户的钱包中提取无限量的特定令牌。正如Cointelegraph先前报道的那样,像Compound,Uniswap,Kyber之类的去中心化应用通常具有无限的配额。这使智能火币网手续多少时间合约可以代表每个钱包所有者进行任意数量的特定令牌交易。
有些钱包允许用户手动微调批准的金额,尽管默认情况下通常将其设置为最大可能值。
Manuskin解释说,UniCats就是这种情况:“整个事情不仅是地毯拉扯和骗局,它还想追逐用户的所有认可令牌。”
UniCats合同包含一个偷偷摸摸的“ setGovernance”功能,该功能允许其所有者以合同的名义调用任何功能。由于用户无限制地批准了该合同,因此开发人员能够耗尽其用户的UNI余额的全部。
代币立即卖给以太坊(ETH),然后将其发送到Tornado Cash进行混合,导致许多人质疑这些行动是否有预谋。
该事件凸显了仅将资金委托给经过审查且信誉良好的项目的重要性。在单产农业的狂热之后,许多鲜为人知的单产农场纷纷涌现,以利用这一趋势。不幸的是,它们通常是直接的现金争夺者,并且具有不同类型的后门。在类似事件中,许多良种农民被“拉走地毯”,他们的资金被耗尽。
与UniCats的区别在于,“构建者”通常将自己限于提交给协议的令牌。无限配额机制允许合同永远提取用户钱包中的每个令牌。在取消批准之前,钱包将完全被盗用,这意味着发送到该地址的任何新令牌都可以以相同方式被盗。
通过限制用于以太坊令牌的ERC-20标准,使批准机制变得必要。 DApp和智能合约无法检测用户是否已向合约转移资金。因此,合同代表用户转移资金,这需要预先批准。尽管这种类型的令牌仍然存在漏洞,并且仍可能成为盗窃的受害者,但是诸如ERC-777的较新标准解决了该缺陷。
设置无限批准的理由是,用户无需分别批准每个交易,从而节省了汽油费和时间。但是,正如Bancor漏洞在6月所显示的那样,合同中的任何妥协都会使用户遭受盗窃,即使他们已经有一段时间没有与协议进行交互了。
来源:cointelegraph,https://cointelegraph.com/news/many-yield-farmers-lost-more-than-they-bargained-for-when-they-trusted-this-defi-dev