Аналитики ZenGo обнаружили новый вид DeFi-мошенничества

Хакеры продолжают активно осваивать отрасль децентрализованных финансов, отбирая средства у фермеров. Так называют группу пользователей, которая охотится за «высоким урожаем», вкладывая криптовалюту в проекты с наибольшим количеством начисляемых служебной криптовалюты.

Фермеры рассчитывают получить прибыль от роста токенов на хайпе нового проекта, в противном случае они ничего не теряют, возвращая вложенные средства по прошествии срока заморозки.

Хакеры показали инвесторам проекта UniCats, что код инвестиционного смарт-контракта может содержать баги, отбирающие криптовалюту после вывода средств. Злоумышленники заранее продумали схему, открыв каждому вкладчику отдельный смарт-контракт, автоматизирующий процесс кражи средств.

Инвестору предлагалось заморозить токены UNI с целью получения урожая в MEOW, подписав «стандартное» разрешение на расходование криптовалюты. Множество DeFi-платформ используют этот механизм для перемещения собранных токенов на другие DEX-биржи или платформы, как поставщики ликвидности. В случае UniCats был заложен иной механизм.

Инвестор разрешал доступ к своим средствам, выведенным из пула. Как только это произошло, хакеры запустили механизм обмена UNI на WETH которые в свою очередь смешивались в сервисе Tornado Cash, скрывающем адреса Получателей перевода.

Наличие этого механизма, как и отдельных смарт-контрактов для каждого инвестора, указывает на продуманность схемы кражи. Пользователь не подозревает, что в краже средств замешаны UniCats, так как урожай собран и средства выведены. Аналитики ZenGo пока не могут установить точное количество пострадавших и сумму хака из-за уникальности адресов каждого вклада в пул и наличия миксера.

324 / 0


Читайте нас в телеграм
Источник

Вам будет интересно  Terra (LUNA) практически обошла конкурентов Ethereum и тянет за собой Cosmos