Пользователь потерял $140 000 в токенах UNI, предоставив разрешения сомнительному DeFi-проекту

Decrypt со ссылкой на исследователя ZenGo Алекса Манускина. На выходных пользователь под ником «Jhon Doe» наткнулся на новый проект из пространства децентрализованных финансов и решил вложить активы в его пул. «Как знать, быть может, это новый YFI», – описывает Манускин вероятный ход мыслей пользователя, ссылаясь на проект yearn.finance, который с момента запуска вырос в десятки раз и достиг пика выше $40 000 в середине сентября. Одним из условий использования сервиса UniCats являлось предоставление разрешения на расходование неограниченного числа токенов. Это стандартное требование многих проектов, поэтому пользователь не увидел в нем ничего подозрительного. Получив некоторое количество токенов MEOW, он вывел UNI из пула. Как выяснилось позднее, разработчики снабдили свой смарт-контракт бэкдором, который позволял им управлять активами пользователей даже после их вывода с платформы. «Ему было невдомек, что после предоставления доступа контракт может использовать токены в любое время. Даже после их вывода из фермерской схемы», – заявляет Манускин. Злоумышленники провели две транзакции на 26 000 и 10 000 UNI или $94 000 и $38 000 соответственно. Затем они обменяли их на 416 Wrapped Ether. Jhon Doe оказался не единственной жертвой. «$140 000 – это только с одной жертвы. Преступники сделали еще по крайней мере $50 000 на остальных. Реальная сумма может быть больше. Ее сложно оценить, так как вывод осуществлялся отдельными транзакциями», – пояснил исследователь. Манускин заявил, что с подобным типом атак в DeFi-проекте он сталкивается впервые. Ранее нечто подобное было проделано с контрактом Bancor, однако в его случае использовалась уязвимость, а не специально установленный бэкдор. С целью сокрытия следов преступления создатели UniCats запускали новый контракт для каждой жертвы. Для отмывания присвоенных средств они пользовались миксером Tornado Cash. Эксперт призывает пользователей предоставлять проектам разрешения только на те токены, которые они хотят использовать в данном конкретном случае, или отзывать разрешения после завершения всех операций. «В значительной степени проблема вызвана тем, что пользователи разрешают расходовать неограниченный объем средств, поскольку это стандартная практика в популярных децентрализованных приложениях, – пояснил он. – Децентрализованные приложения должны запрашивать только необходимые им суммы, даже если это создает дополнительные неудобства для пользователя. Кошельки должны предупреждать пользователей о том, что они предоставляют разрешение на использование всех существующих и будущих токенов».