UniCats-malar ger bönder när DeFi-marknadshypen avtar

OKEx Insights DeFi Digest är en veckovis undersökning av den decentraliserade finansbranschen.

Ögonblicksbild av DeFi-marknaden

Den decentraliserade finansmarknaden sjönk den här veckan då det totala värdet i DeFi-produkterna sjönk från 11,1 miljarder dollar till 10,1 miljarder dollar.

Uniswap behöll sin position som marknadsledare med en marknadsandel på 22% av det totala USD-värdet låst. Den decentraliserade börsen hade också den största likviditetspoolen och utökade sin handelsvolymdominans från 54% till 62%.

Inom den decentraliserade utlåningssfären fortsatte Compound att dominera med en marknadsandel på 49%. Aave var på andra plats med en marknadsandel på 37%.

Några viktiga mätvärden i DeFi-världen såg minskningar med den här veckan. Källor: DeFi Pulse och DeBank

DeFi-symboler som simmar i ett hav av rött

Det har varit en relativt statisk vecka när det gäller större DeFi-utvecklingar. Köpsintresset för DeFi-tokens minskade och detta ledde till försäljningar för de flesta projekt. Som ett resultat var den bredare DeFi-marknaden överflödig i ett hav av rött eftersom vissa tokens såg dramatiska prisfall.

De flesta DeFi-tokens drabbades av förluster den här veckan, med vissa värre än andra. Källa: Coin360

DFI.money är den bästa förloraren med 52% värdeförlust. De ledande automatiserade marknadsförare var också bland de hårdast drabbade i veckans försäljning – Curve (CRV), SushiSwap (SUSHI) och Uniswap (UNI) tog veckoförluster på cirka 45%, 44% respektive 26%.

UniCats missbrukade avkastningsbönder

UniCats, ett avkastningsuppfödande DeFi-protokoll som liknar SushiSwap eller YAM-finansiering, uppmärksammade DeFi-gemenskapen den här veckan när användare förlorade sina token-saldon som ett direkt resultat av de skadliga smarta kontrakten.

Som avslöjats av ZenGo-forskaren Alex Manuskin, en anonym användare, dubbad "Jhon Doe," förlorat UNI-styrningstoken till ett värde av 140 000 USD när de deltog i UniCats ger jordbruk. Data från Etherscan visar att användaren som undersöktes förlorade nästan 26 757 UNI och 10 703 UNI i två transaktioner den 4 oktober.

Anonym Twitter-användare "Jhon Doe" förlorade mer än 37 000 UNI i två transaktioner. Källa: Etherscan


Ett vanligt och farligt kryphål i DeFi

UniCats incident har återigen avslöjat en vanlig och farlig praxis i DeFi-sfären – nämligen att protokolloperatörer kan begära tillstånd att ta ut ett obegränsat antal tokens från kundens plånbok. Denna praxis kan göras av UniCats "setGovernance" -funktion, vilket gör att plattformen har full kontroll över användarnas tillgångar – även efter att användare har dragit tillbaka sina tillgångar från UniCats.

I fallet med "Jhon Doe," användaren deponerade först UNI i UniCats för att delta i avkastningsodling. På samma sätt som godkännandemeddelandet för andra DeFi-protokoll med avkastningsodling godkände de meddelandet i MetaMask för att utföra deponeringen av UNI. Användaren var dock inte medveten om att godkännandemeddelandet tillåter UniCats att dra tillbaka sina tokens när som helst.

Godkännandemeddelandet i MetaMask tillåter DApps att spendera användarnas tokens. Källa: Alex Manuskin på Twitter

Enligt Manuskin utnyttjar UniCats användarnas medel genom att först skapa ett nytt smart kontrakt och överlåta ägandet till gården till det nya kontraktet. När en användare sätter in pengar till det smarta kontraktet kan UniCats ta ut UNI och byta dem mot Ether i Uniswap. Efter byte av medel i Uniswap överförs ETH sedan till UniCats adress. För att täcka de stulna fondernas spår flyttade UniCats-teamet och blandade bulk-transaktioner på 100 ETH med andra medel via Tornado.cash.

UniCats är inte det första DeFi-protokollet som lider av ett smart kontrakthål som tillåter oändliga uttag. Bancor Network, ett on-chain likviditetsprotokoll, identifieras ett liknande kryphål den 17 juni som gör det möjligt för hackare att stjäla pengar från användare som interagerade med Bancors smarta kontrakt. När Bancor-teamet erkände sårbarheten, det bestämt till white-hat attackera kontraktet innan skadliga aktörer kunde tömma användarnas medel.

Smutthål och ERC-20-tokenbegränsningar

Smarta kontraktshål som tillåter oändliga uttag härrör från ERC-20-begränsningar. Smarta kontrakt baserade på ERC-20-standarden, som Bancor och UniCats, kan inte upptäcka om en användare har överfört pengarna till kontraktet. Avtalet kräver ett förutbestämt godkännande för att överföra eller ta ut medel för användarens räkning. Godkännandet har vanligtvis ställts in som ett oändligt uttag, vilket minskade gasavgifterna och godkännandetiderna för uttag.

Alternativa tokenstandarder försökte lösa detta kryphål. Till exempel tar ERC-223-standarden bort behovet av att godkänna uttag. Antagandet av ERC-223-standarden är dock begränsad på grund av överdriven gasanvändning och friktionen som skapas vid migrering av data från ERC-20 till ERC-223-standarden.

I en kommentar till OKEx Insights anser Manuskin att det är säkrast för avkastningsodlare att bara investera i väletablerade och granskade DeFi-protokoll. Han förklarade:

"Att interagera med gårdar beror på hur mycket risk du är villig att ta. Det finns alltid en säker väg att bara använda väletablerade och granskade kontrakt. Detta är ingen garanti för inga säkerhetsproblem, men det är mycket bättre än ingenting. Vissa användare kanske vill “degenera” till nya projekt som kanske inte har tid att genomgå en officiell granskning. Naturligtvis är detta riskabelt. [Men] om projektet har verkligt värde kan gemenskapens medlemmar själva läsa kontraktet och genomföra en informell granskning."

Manuskin anser dessutom att användare bör vara uppmärksamma på kontrakt som kan uppgraderas, eftersom de utgör en särskilt farlig situation. Han noterade:

"Något att se upp för är kontrakt som kan uppgraderas. Detta är ett vanligt designmönster, men om det finns en enda ägare som kan utföra uppgraderingen, litar du på att de inte missbrukar sin makt. De kan uppgradera kontraktet till ett skadligt kontrakt, även om det först är helt säkert."

Var en rationell avkastningsodlare

Fallet med "Jhon Doe" och UniCats är bara en ögonblicksbild av det nuvarande läget för avkastningsodling, där användare är villiga att ingå okända eller oreviderade DeFi-protokoll för att maximera avkastningen. Detta kan också ses i den senaste säkerhetsincidenten från Eminence Finance. Ett oavslutat DeFi-protokoll av yield.finance-grundaren Andre Cronje, Eminence lidit från ett hack på 15 miljoner dollar – men hälften av medlen återlämnades. Medan Cronje hävdade att Eminence-protokollet var i testfasen, ger vissa bönder fortfarande hällde deras medel till protokollet, utan att förstå hur det fungerar.   

När hype kring avkastningsodling börjar avta kan de senaste fallen av UniCats och Eminence ge goda skäl för avkastningsodlare att pausa och ta sig tid att investera rationellt. Cronje också gav liknande råd för att ge bönder när han bad, "Om du inte förstår det, använd det inte."

OKEx Insights presenterar marknadsanalyser, djupgående funktioner, originalforskning & samlade nyheter från kryptopersonal.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map