Пользователь лишился $140 000, став жертвой DeFi-скама

scam
scam

Неизвестный пользователь потерял $140 000 в токенах децентрализованной биржи Uniswap после их размещения в пуле проекта UniCats. Подробную историю раскрыл исследователь ZenGo Алекс Манускин.

Эксперт отмечает, что условный некий Джо наткнулся на причудливую схему доходного фермерства под названием UniCats.

С мыслями о том, что она может повторить успех yEarn Finance (YFI), пользователь решил внести немного UNI.

Он получил «старое доброе» сообщение от MetaMask: «позвольте этому dapp потратить ваш UNI». Джо, полагая, что это стандартная практика всех похожих DeFi-протоколов, согласился.

Вырастив несколько токенов MEOW, он вывел UNI.

«Джо невдомек, что после разрешения смарт-контракт мог забрать токены в любое время. Даже после того, как они были выведены из проекта», — отмечает исследователь.

Создатели Unicat предусмотрели в смарт-контракте бэкдор. Злоумышленники провели две транзакции на 26 000 (~$94 000) и 10 000 UNI (~$38 000). Условный Джо оказался не единственной жертвой.

«$140 000 — это только с одной жертвы. Преступники сделали еще по крайней мере $50 000 на остальных. Реальная сумма может быть больше. Ее сложно оценить, так как вывод осуществлялся отдельными транзакциями», — пояснил исследователь в интервью Decrypt.

Манускин добавил, что с подобным типом атак в DeFi-проекте он столкнулся впервые. Он пояснил, что похожая ситуация возникла с контрактом Bancor, но там была уязвимость, а не специально установленный бэкдор.

Исследователь подчеркивает, что администраторы Unicat разработали хитроумную схему. Чтобы замести следы, для каждой новой жертвы они создают новый смарт-контракт и передают ему право собственности в пуле.

Каждый новый контракт присваивает часть средств, меняет их на Uniswap и передает далее на адреса, принадлежащие Unicat. Похищенные ETH затем перемещаются в миксер Tornado Cash в объемах 100 ETH.

«Джо просыпается, чтобы обнаружить, что лишился половины принадлежащих ему UNI. Он клянется больше не заниматься «доходным фермерством» и выводит все свои средства со счета. UniCat продолжает искать новых жертв», — заканчивает историю Манускин, добавляя пару советов, как не повторить этот опыт.

В сентябре ForkLog сообщал о похожей схеме в DeFi-проекте tomatos.finance. При переходе на сайт потенциальные жертвы могут дать разрешения, которые запускают вывод токенов на сторонний адрес.

Напомним, ранее подозрения в скам-природе вызвали два проекта — EMD и LV Finance.

Тон Вейс на канале Forklog заявил, что все DeFi-проекты обладают признаками схем Понци.

Подписывайтесь на новости ForkLog в Telegram: ForkLog FEED — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK