Muchos yield farmers perdieron más de lo que esperaban cuando confiaron en este desarrollador de DeFi
Los yield farmers que buscaban una ganancia rápida fueron recientemente engañados por un dudoso protocolo DeFi llamado UniCats, un esquema de yield farmers que recuerda a otros protocolos más famosos como SushiSwap o Yam Finance.
Según el investigador de ZenGo Alex Manuskin, al menos uno de sus usuarios perdió más de USD 140,000 en tokens UNI de Uniswap incluso después de eliminar sus fondos del protocolo. Otros usuarios perdieron alrededor de USD 50,000 más, dijo Manuskin a Cointelegraph.
Los usuarios fueron víctimas de una práctica peligrosa que se ve comúnmente en DeFi, donde la mayoría de los protocolos solicitarán la autorización para retirar cantidades ilimitadas de un token en particular de la billetera del cliente. Como Cointelegraph informó anteriormente, las aplicaciones descentralizadas como Compound, Uniswap, Kyber y otras a menudo cuentan con asignaciones infinitas. Esto permite que los contratos inteligentes realicen transacciones de un determinado token en nombre de cada propietario de la billetera.
Algunas billeteras permitirán a los usuarios ajustar manualmente una cantidad aprobada, aunque generalmente se establece en el valor máximo posible de forma predeterminada.Tal fue el caso de UniCats, explicó Manuskin: “No solo fue un tirón de alfombra y una estafa, sino que también quiere perseguir todos los tokens aprobados de los usuarios”.
El contrato de UniCats contenía una función furtiva de “setGovernance” que permite a su propietario llamar a cualquier función en el nombre del contrato. Dado que los usuarios otorgaron aprobaciones infinitas a este contrato, el desarrollador pudo agotar la totalidad de los saldos UNI de sus usuarios.
Los tokens se vendieron de inmediato por Ether (ETH), que luego se envían a Tornado Cash para que se mezclaran, lo que llevó a muchos a cuestionar si estas acciones fueron premeditadas.
El incidente destaca la importancia de delegar fondos solo en proyectos aprobados y de buena reputación. A raíz de la manía del yield farming, muchos pools de rendimiento menos conocidas se ampliaron para capitalizar la tendencia. Desafortunadamente, a menudo eran tomas de efectivo y presentaban diferentes tipos de puertas traseras. Muchos yield farmers fueron “tirados de la alfombra” y sus fondos se agotaron en incidentes similares.
La diferencia con UniCats es que los “constructores” generalmente se limitaban a los tokens comprometidos con el protocolo. El mecanismo de asignación infinita permite que el contrato retire cada token en la billetera del usuario, para siempre. La billetera queda completamente comprometida hasta que se retira la aprobación, lo que significa que cualquier token nuevo enviado a la dirección puede ser robado de la misma manera.
El mecanismo de aprobación se hace necesario por una limitación del estándar ERC-20 utilizado para los tokens Ethereum. Las DApps y los contratos inteligentes no pueden detectar si un usuario ha transferido fondos al contrato. Por lo tanto, el contrato transfiere el dinero en nombre del usuario, lo que requiere una aprobación preestablecida. Los estándares más nuevos como ERC-777 corrigen esta falla, aunque este tipo de token aún tiene vulnerabilidades y aún puede convertirse en víctima de robo.
La razón fundamental para establecer aprobaciones infinitas es que los usuarios ahorran tiempo y tarifas de gas al no tener que aprobar cada transacción por separado. Sin embargo, como mostró la vulnerabilidad de Bancor en junio, cualquier compromiso de un contrato en el futuro expone a sus usuarios al robo, incluso si no han interactuado con el protocolo por un tiempo.
Sigue leyendo: