Неизвестный пользователь расстался со $140 000 в токенах децентрализованной биржи Uniswap после их размещения в пуле проекта UniCats. Подробную историю раскрыл исследователь ZenGo Алекс Манускин.

Эксперт отмечает, что условный некий Джо наткнулся на причудливую схему доходного фермерства под названием UniCats.

С мыслями о том, что она может повторить успех yEarn Finance (YFI), пользователь решает внести немного UNI.

Он получает «старое доброе» сообщение от MetaMask: «позвольте этому dapp потратить ваш UNI». Джо, полагая, что это стандартная практика всех похожих DeFi-протоколов, соглашается.

Вырастив несколько токенов MEOW, он выводит UNI.

«Джо невдомек, что после разрешения смарт-контракт мог забрать токены в любое время. Даже после того, как они были выведены из проекта», — отмечает исследователь.

Создатели Unicat предусмотрели в смарт-контракте бэкдор. Злоумышленники провели две транзакции на 26 000 (~$94 000) и 10 000 UNI (~$38 000). Условный Джо оказался не единственной жертвой.

«$140 000 — это только с одной жертвы. Преступники сделали еще по крайней мере $50 000 на остальных. Реальная сумма может быть больше. Ее сложно оценить, так как вывод осуществлялся отдельными транзакциями», — пояснил исследователь в интервью Decrypt.

Манускин добавил, что с подобным типом атак в DeFi-проекте он столкнулся впервые. Он пояснил, что похожая ситуация возникла с контрактом Bancor, но там была уязвимость, а не специально установленный бэкдор.

Исследователь подчеркивает, что администраторы Unicat разработали хитроумную схему. Чтобы замести следы, для каждой новой жертвы они создают новый смарт-контракт и передают ему право собственности в пуле.

Каждый новый контракт присваивает часть средств, меняет их на Uniswap, и передает их на адреса, принадлежащие Unicat. Украденные ETH затем перемещаются в миксер Tornado Cash в объемах 100 ETH.

«Джо просыпается, чтобы обнаружить, что лишился половины принадлежащих ему UNI. Он клянется больше не заниматься «доходным фермерством» и выводит все свои средства со счета. UniCat продолжает искать новых жертв», — заканчивает историю Манускин, добавляя пару советов, как не повторить этот опыт.

Источник: forklog.com