当信任DeFi开发者时 许多DeFi农民的损失比预期的要多

最近,寻求快速获利的Yield farmers(农民,指通过为DeFi提供流动性赚取收益的人)被称为UniCats的可疑DeFi协议所,该协议使人们想起了其他更著名的协议,如SushiSwap或Yam Finance。

据ZenGo的研究人员Alex Manuskin称,即使从Uniswap协议中撤出了资金后,至少有一个用户失去了价值超过14万美元的Uniswap的UNI代币。Manuskin告诉Cointelegraph,其他用户损失了约50000美元。

用户成为DeFi中常见的危险行为的受害者,在DeFi中,大多数协议都会要求获得授权,以从客户的钱包中提取无限量的特定代币。正如Cointelegraph先前报道的那样,像Compound、Uniswap、Kyber等去中心化应用通常具有丰厚的补贴。这使智能合约可以代表每个钱包所有者进行任意数量的特定代币交易。

有些钱包允许用户手动调整已批准的金额,尽管默认情况下,这通常被设置为可能的最大金额。

Manuskin解释说,UniCats就是这种情况:“这不仅是一种行为,也是一种局,它还想获取用户所有的代币。”

UniCats合约包含一个“setGovernance”函数,允许其所有者以合约的名义调用任何函数。由于用户无限制地批准了该合约,因此开发人员可以提取用户的全部UNI代币。

被提取的代币立即转换成以太坊(ETH)出售,然后将其发送到Tornado Cash进行混合,这让很多人怀疑这些行动是否有预谋。

这一事件凸显了仅将资金委托给经过审查且信誉良好的项目的重要性。在yield farming(流动性挖矿)的狂热之后,许多鲜为人知的项目纷纷涌现,以利用这一趋势。不幸的是,它们通常是直接抢现金,并且具有不同类型的后门。在类似事件中,许多农民被“”,他们损失了全部资金。

与UniCats的不同之处在于,“构建者”通常将自己限于委托给协议的代币。丰厚的补贴机制允许合约永久提取用户钱包中的每个代币。在取消批准之前,钱包将完全被盗用,这意味着发送到该地址的任何新代币都可以以相同方式被盗。

批准机制对于限制于以太坊ERC-20标准的代币来说是有必要的。DApp和智能合约无法检测用户是否已向合约转移资金。因此,合约代表用户转移资金,这需要预先批准。尽管这种类型的代币仍然存在漏洞,并且仍可能成为盗窃的受害者,但是像ERC-777等较新标准解决了该缺陷。

设置无限批准的理由是,用户无需分别批准每个交易,从而节省了gas费和时间。然而,正如Bancor漏洞在6月份所显示的那样,任何合约中的妥协都会使用户遭受盗窃,即使他们已经有一段时间没有与该协议进行交互了。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链杂谈

以太坊价格Coinbase支持欧美用户即时取款 将向英国税务当局提交交易数据

主要加密货币交易所Coinbase周五宣布为美国和欧洲用户增加即时取款的支持,此外该交易所还承认向英国税务当局提交交易数据。 Coinbase表示,它已经在近40个国家增加了对即时取款的支持,包括美国、英国和许多欧洲国家。这一举动旨在解决此前从Coinbase取款可能需要几天的问题。 现在Coinbase的用户可以在提出申请后的短时间内取回他们的资产。

SHIB金色前哨 | Yam Finance明日将为4大提案提交快照

10月3日,Yam Finance官方发推宣布,将于明日为当前官方论坛提案提交快照,并进入投票程序。投票将在UTC时间10月3日21:00(北京时间10月4日5:00)开始。 官方提醒,请于该时间移走流动资金。具体快照区块细节将于明日公布。 而官方提到的论坛当前提案主要有: 1.将ETH/YAM池作为新的财政购买池,以解决流动性和资金灵活性问题。

比特币金色DeFi日报 | LBank即将上线保底DeFi挖矿产品

DeFi数据 1.DeFi总市值:142.43亿美元市值前十币种涨跌幅,金色财经制图,数据来源CoinGecko 2.过去24小时去中心化交易所的交易量:5.96亿美元  交易量排名前十的DEX 数据来源:Debank 3.DeFi借贷平台借款总量:22.0亿美元  DeFi借贷平台借款占比,金色财经制图。

以太坊交易9.28晚间行情:十字路口向上 OR 向下?

文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。 BTC 早盘携带利好拉升一波,随后的一整天都在小区间晃悠,其他主流币也并无独立走势。

[0:0ms0-0:516ms