UniCats mauls mang lại lợi nhuận cho nông dân khi sự cường điệu của thị trường DeFi giảm dần

OKEx Insights ‘DeFi Digest là cuộc kiểm tra hàng tuần về ngành tài chính phi tập trung.

Ảnh chụp thị trường DeFi

Thị trường tài chính phi tập trung giảm trong tuần này khi tổng giá trị bị khóa trong các sản phẩm DeFi giảm từ 11,1 tỷ USD xuống 10,1 tỷ USD.

Uniswap duy trì vị trí dẫn đầu thị trường với 22% thị phần tổng giá trị USD bị khóa. Sàn giao dịch phi tập trung cũng có lượng thanh khoản lớn nhất và mở rộng sự thống trị về khối lượng giao dịch từ 54% lên 62%.

Trong lĩnh vực cho vay phi tập trung, Compound tiếp tục thống trị với 49% thị phần. Aave đứng ở vị trí thứ hai với 37% thị phần.

Một số chỉ số chính trong thế giới DeFi đã giảm trong tuần này. Nguồn: Xung DeFiDeBank

Mã thông báo DeFi bơi trong biển đỏ

Đó là một tuần tương đối ổn định về các phát triển DeFi chính. Sự quan tâm mua đối với các token DeFi giảm dần và điều này dẫn đến việc bán tháo đối với hầu hết các dự án. Kết quả là, thị trường DeFi rộng lớn hơn ngập trong biển đỏ khi một số mã thông báo giảm giá đáng kể.

Hầu hết các mã thông báo DeFi đều bị lỗ trong tuần này, với một số còn tệ hơn những mã khác. Nguồn: Coin360

DFI.money là công ty thua lỗ hàng đầu với 52% giá trị. Các nhà tạo lập thị trường tự động hàng đầu cũng bị ảnh hưởng nặng nề nhất trong đợt bán tháo tuần này – Curve (CRV), SushiSwap (SUSHI) và Uniswap (UNI) lần lượt chịu mức lỗ hàng tuần khoảng 45%, 44% và 26%..

UniCats đã điều chỉnh năng suất nông dân

UniCats, một giao thức DeFi canh tác lợi nhuận tương tự như SushiSwap hoặc YAM Finance, đã thu hút sự chú ý của cộng đồng DeFi trong tuần này khi người dùng mất số dư mã thông báo do kết quả trực tiếp của các hợp đồng thông minh độc hại.

Theo tiết lộ của nhà nghiên cứu ZenGo, Alex Manuskin, một người dùng ẩn danh, được mệnh danh là "Jhon Doe," mất đi Mã thông báo quản trị của UNI trị giá 140.000 đô la khi họ tham gia vào việc canh tác năng suất UniCats. Dữ liệu từ Etherscan cho thấy rằng người dùng được kiểm tra gần như bị mất 26.757 UNI10.703 UNI trong hai giao dịch vào ngày 4 tháng 10.

Người dùng Twitter ẩn danh "Jhon Doe" mất hơn 37.000 UNI trong hai giao dịch. Nguồn: Etherscan

Một lỗ hổng phổ biến và nguy hiểm trong DeFi

Sự cố của UniCats một lần nữa cho thấy một thực tế phổ biến và nguy hiểm trong lĩnh vực DeFi – đó là các nhà khai thác giao thức có thể yêu cầu ủy quyền rút số lượng không giới hạn mã thông báo từ ví của khách hàng. Thực hành này có thể được thực hiện bởi UniCats ‘ "setGovernance" chức năng này cho phép nền tảng có toàn quyền kiểm soát tài sản của người dùng – ngay cả sau khi người dùng rút tài sản của họ khỏi UniCats.

Trong trường hợp "Jhon Doe," người dùng lần đầu tiên gửi UNI vào UniCats để tham gia vào việc canh tác năng suất. Tương tự như thông báo phê duyệt của các giao thức DeFi canh tác năng suất khác, họ đã chấp thuận thông báo trong MetaMask để thực hiện việc gửi UNI. Tuy nhiên, người dùng không biết rằng thông báo phê duyệt cho phép UniCats rút mã thông báo của họ bất kỳ lúc nào.

Thông báo phê duyệt trong MetaMask cho phép DApp sử dụng mã thông báo của người dùng. Nguồn: Alex Manuskin trên Twitter

Theo Manuskin, UniCats khai thác tiền của người dùng bằng cách đầu tiên tạo một hợp đồng thông minh mới và chuyển quyền sở hữu trang trại sang hợp đồng mới. Khi người dùng gửi tiền vào hợp đồng thông minh, UniCats có thể rút UNI và hoán đổi chúng lấy Ether trong Uniswap. Sau khi hoán đổi tiền trong Uniswap, ETH sau đó sẽ được chuyển đến địa chỉ của UniCats. Để che dấu vết của các khoản tiền bị đánh cắp, nhóm UniCats đã di chuyển và kết hợp các giao dịch số lượng lớn 100 ETH với các khoản tiền khác thông qua Tornado.cash.

UniCats không phải là giao thức DeFi đầu tiên mắc phải lỗ hổng hợp đồng thông minh cho phép rút tiền vô hạn. Bancor Network, một giao thức thanh khoản trên chuỗi, xác định một lỗ hổng tương tự vào ngày 17 tháng 6 cho phép tin tặc đánh cắp tiền từ những người dùng đã tương tác với hợp đồng thông minh của Bancor. Khi nhóm Bancor thừa nhận lỗ hổng bảo mật, nó quyết định mũ trắng tấn công hợp đồng trước khi các tác nhân độc hại có thể rút tiền của người dùng.

Sơ hở và giới hạn mã thông báo ERC-20

Kẽ hở của hợp đồng thông minh cho phép rút tiền vô hạn bắt nguồn từ các hạn chế của ERC-20. Các hợp đồng thông minh dựa trên tiêu chuẩn ERC-20, chẳng hạn như Bancor và UniCats, không thể phát hiện liệu người dùng đã chuyển tiền vào hợp đồng hay chưa. Hợp đồng yêu cầu phê duyệt đặt trước để chuyển hoặc rút tiền thay mặt người dùng. Việc phê duyệt thường được đặt là rút tiền vô hạn, giúp giảm thiểu phí gas và thời gian phê duyệt rút tiền.

Các tiêu chuẩn mã thông báo thay thế đã cố gắng giải quyết lỗ hổng này. Ví dụ: tiêu chuẩn ERC-223 loại bỏ nhu cầu phê duyệt rút tiền. Tuy nhiên, việc áp dụng tiêu chuẩn ERC-223 là hạn chế do sử dụng quá nhiều khí và ma sát được tạo ra khi di chuyển dữ liệu từ ERC-20 sang tiêu chuẩn ERC-223.

Trong một bình luận với OKEx Insights, Manuskin tin rằng an toàn nhất cho những người nông dân năng suất là chỉ đầu tư vào các giao thức DeFi được kiểm tra và thiết lập tốt. Anh ấy đã giải thích:

"Tương tác với các trang trại phụ thuộc vào mức độ rủi ro mà bạn sẵn sàng chấp nhận. Luôn luôn có một lộ trình an toàn là chỉ sử dụng các hợp đồng đã được kiểm toán và thiết lập tốt. Đây không phải là đảm bảo không có vấn đề bảo mật, nhưng nó tốt hơn là không có gì. Một số người dùng có thể muốn ‘tham gia’ vào các dự án mới mà có thể không có thời gian để trải qua cuộc kiểm tra chính thức. Đương nhiên, điều này là rủi ro hơn. [Nhưng] nếu dự án có giá trị thực, bản thân các thành viên cộng đồng có thể đọc hợp đồng và thực hiện đánh giá không chính thức."

Hơn nữa, Manuskin tin rằng người dùng nên chú ý đến các hợp đồng có thể được nâng cấp, vì chúng xuất hiện một tình huống đặc biệt nguy hiểm. Anh lưu ý:

"Điều cần chú ý là các hợp đồng có thể được nâng cấp. Đây là một mẫu thiết kế phổ biến, nhưng nếu có một chủ sở hữu duy nhất có thể thực hiện nâng cấp, bạn đang tin tưởng họ không lạm dụng quyền lực của mình. Họ có thể nâng cấp hợp đồng thành một hợp đồng độc hại, ngay cả khi ban đầu nó hoàn toàn an toàn."

Hãy là một nông dân năng suất hợp lý

Trường hợp của "Jhon Doe" và UniCats chỉ là một bản chụp nhanh về tình trạng canh tác năng suất hiện tại, nơi người dùng sẵn sàng tham gia vào các giao thức DeFi không quen thuộc hoặc chưa được kiểm tra để tối đa hóa lợi nhuận của họ. Điều này cũng có thể được nhìn thấy trong sự cố bảo mật gần đây của Eminence Finance. Một giao thức DeFi chưa hoàn thành của người sáng lập tài chính, Andre Cronje, Eminence bị từ một vụ hack 15 triệu đô la – tuy nhiên, một nửa số tiền đã được trả lại. Trong khi Cronje tuyên bố rằng giao thức Eminence đang trong giai đoạn thử nghiệm, một số nông dân năng suất vẫn đổ tiền của họ vào giao thức mà không hiểu nó hoạt động như thế nào.   

Với sự cường điệu xung quanh việc canh tác năng suất bắt đầu giảm, các trường hợp gần đây của UniCats và Eminence có thể là lý do chính đáng để những người nông dân năng suất tạm dừng và dành thời gian để đầu tư hợp lý. Cronje cũng vậy đã cho lời khuyên tương tự cho những người nông dân năng suất khi anh ấy cầu xin, "Nếu bạn không hiểu nó, xin vui lòng không sử dụng nó."

OKEx Insights trình bày các phân tích thị trường, các tính năng chuyên sâu, nghiên cứu ban đầu & tin tức được tuyển chọn từ các chuyên gia tiền điện tử.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map