UniCats mauls produce agricultores a medida que el mercado de DeFi se apaga

DeFi Digest de OKEx Insights es un examen semanal de la industria financiera descentralizada.

Instantánea del mercado DeFi

El mercado financiero descentralizado cayó esta semana, ya que el valor total bloqueado en los productos DeFi cayó de $ 11.1 mil millones a $ 10.1 mil millones..

Uniswap mantuvo su posición como líder del mercado con una participación de mercado del 22% del valor total en USD bloqueado. El intercambio descentralizado también tuvo el mayor grupo de liquidez y extendió su dominio de volumen de negociación del 54% al 62%..

En el ámbito de los préstamos descentralizados, Compound siguió dominando con una cuota de mercado del 49%. Aave ocupó el segundo lugar con una participación de mercado del 37%.

Algunas métricas clave en el mundo DeFi vieron disminuciones esta semana. Fuentes: Pulso DeFi y DeBank

Fichas DeFi nadando en un mar rojo

Ha sido una semana relativamente estática en términos de importantes desarrollos de DeFi. El interés de compra hacia los tokens DeFi disminuyó y esto llevó a ventas masivas para la mayoría de los proyectos. Como resultado, el mercado de DeFi en general se vio inundado por un mar rojo, ya que algunos tokens experimentaron caídas de precios dramáticas..

La mayoría de los tokens DeFi sufrieron pérdidas esta semana, algunos peores que otros. Fuente: Moneda360

DFI.money es el principal perdedor con una pérdida de valor del 52%. Los principales creadores de mercado automatizados también estuvieron entre los más afectados en la venta masiva de esta semana: Curve (CRV), SushiSwap (SUSHI) y Uniswap (UNI) registraron pérdidas semanales de aproximadamente 45%, 44% y 26%, respectivamente..

UniCats destrozó a los agricultores de rendimiento

UniCats, un protocolo DeFi de cultivo de rendimiento similar a SushiSwap o YAM Finance, llamó la atención de la comunidad DeFi esta semana, ya que los usuarios perdieron sus saldos de tokens como resultado directo de los contratos inteligentes maliciosos..

Como lo reveló el investigador de ZenGo Alex Manuskin, un usuario anónimo, apodado "Jhon Doe," perdió Fichas de gobernanza de UNI valoradas en 140.000 dólares cuando participaron en la agricultura de rendimiento UniCats. Los datos de Etherscan muestran que el usuario examinado perdió casi 26,757 UNI y 10,703 UNI en dos transacciones el 4 de octubre.

Usuario de Twitter anónimo "Jhon Doe" perdió más de 37.000 UNI en dos transacciones. Fuente: Etherscan


Una laguna común y peligrosa en DeFi

El incidente de UniCats ha vuelto a exponer una práctica común y peligrosa en la esfera DeFi, a saber, que los operadores de protocolo pueden solicitar la autorización para retirar una cantidad ilimitada de tokens de las billeteras de los clientes. Esta práctica puede ser realizada por UniCats ‘ "setGovernance" función, que permite que la plataforma tenga control total sobre los activos de los usuarios, incluso después de que los usuarios retiraron sus activos de UniCats.

En el caso de "Jhon Doe," el usuario primero depositó UNI en UniCats para participar en la agricultura de rendimiento. Similar al mensaje de aprobación de otros protocolos DeFi de cultivo de rendimiento, aprobaron el mensaje en MetaMask para ejecutar el depósito de UNI. Sin embargo, el usuario no sabía que el mensaje de aprobación permite a UniCats retirar sus tokens en cualquier momento..

El mensaje de aprobación en MetaMask permite a las DApps gastar los tokens de los usuarios. Fuente: Alex Manuskin en Twitter

Según Manuskin, UniCats explota los fondos de los usuarios creando primero un nuevo contrato inteligente y transfiriendo la propiedad de la granja al nuevo contrato. Cuando un usuario deposita fondos en el contrato inteligente, UniCats puede retirar la UNI y cambiarlos por Ether en Uniswap. Después de intercambiar los fondos en Uniswap, el ETH se transferirá a la dirección de UniCats. Para cubrir las pistas de los fondos robados, el equipo de UniCats movió y mezcló transacciones masivas de 100 ETH con otros fondos a través de Tornado.cash.

UniCats no es el primer protocolo DeFi que sufre una laguna en el contrato inteligente que autoriza retiros infinitos. Bancor Network, un protocolo de liquidez en cadena, identificado un vacío legal similar el 17 de junio que permite a los piratas informáticos robar fondos de los usuarios que interactuaron con el contrato inteligente de Bancor. Cuando el equipo de Bancor reconoció la vulnerabilidad, decidido para atacar con sombrero blanco el contrato antes de que los actores malintencionados puedan drenar los fondos de los usuarios.

Lagunas y limitaciones de token ERC-20

Las lagunas en los contratos inteligentes que autorizan retiros infinitos provienen de las limitaciones del ERC-20. Los contratos inteligentes basados ​​en el estándar ERC-20, como Bancor y UniCats, no pueden detectar si un usuario ha transferido los fondos al contrato. El contrato requiere una aprobación preestablecida para transferir o retirar fondos en nombre del usuario. Por lo general, la aprobación se ha establecido como un retiro infinito, lo que mitiga las tarifas de gas y los tiempos de aprobación de retiro..

Los estándares de token alternativos intentaron resolver esta laguna. Por ejemplo, el estándar ERC-223 elimina la necesidad de aprobar retiros. Sin embargo, la adopción del estándar ERC-223 es limitado debido al uso excesivo de gas y la fricción creada al migrar datos del ERC-20 al estándar ERC-223.

En un comentario a OKEx Insights, Manuskin cree que es más seguro para los productores de rendimiento invertir solo en protocolos DeFi bien establecidos y auditados. Él explicó:

"La interacción con las granjas depende del riesgo que esté dispuesto a asumir. Siempre existe la ruta segura de utilizar únicamente contratos bien establecidos y auditados. Esto no es una garantía de que no haya problemas de seguridad, pero es mucho mejor que nada. Es posible que algunos usuarios quieran “degenerarse” en nuevos proyectos que podrían no tener tiempo para someterse a una auditoría oficial. Naturalmente, esto es más arriesgado. [Pero] si el proyecto tiene un valor real, los propios miembros de la comunidad pueden leer el contrato y realizar una auditoría informal."

Además, Manuskin cree que los usuarios deben prestar atención a los contratos que se pueden actualizar, ya que presentan una situación particularmente peligrosa. El lo notó:

"Algo a tener en cuenta son los contratos que se pueden actualizar. Este es un patrón de diseño común, pero si hay un único propietario que puede realizar la actualización, confía en que no abusará de su poder. Pueden actualizar el contrato a uno malicioso, incluso si al principio es completamente seguro."

Sea un agricultor de rendimiento racional

El caso de "Jhon Doe" y UniCats es simplemente una instantánea del estado actual de la agricultura de rendimiento, donde los usuarios están dispuestos a entrar en protocolos DeFi desconocidos o no auditados para maximizar sus rendimientos. Esto también se puede ver en el reciente incidente de seguridad de Eminence Finance. Un protocolo DeFi sin terminar por el fundador de yield.finance, Andre Cronje, Eminence sufrió de un truco de $ 15 millones; sin embargo, se devolvió la mitad de los fondos. Si bien Cronje afirmó que el protocolo Eminence estaba en la etapa de prueba, algunos agricultores de rendimiento aún vertido sus fondos en el protocolo, sin entender cómo funciona.   

Con la exageración que rodea a la agricultura de rendimiento comenzando a disminuir, los casos recientes de UniCats y Eminence pueden proporcionar una buena razón para que los agricultores de rendimiento se detengan y se tomen el tiempo para invertir de manera racional. Cronje también dio consejo similar para los agricultores de rendimiento cuando imploró, "Si no lo entiende, no lo use."

OKEx Insights presenta análisis de mercado, características detalladas, investigación original & noticias seleccionadas de criptoprofesionales.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map