Tips

  • La "plataforma de agricultura de rendimiento" basada en Ethereum, UniCats, supuestamente robó al menos 200.000 dólares en criptomonedas de varios usuarios, según reveló un investigador de ZenGo.
  • Una puerta trasera en el contrato inteligente permitió a UniCats mantener el control sobre las monedas de sus usuarios incluso después de haber sido retiradas de su piscina.
  • Un exploit similar fue utilizado recientemente contra Bancor.

Un usuario de Ethereum ha perdido 140.000 dólares de UNI, el token de gobernanza de la plataforma DeFi Uniswap, tras invertir en el proyecto de agricultura de rendimiento UniCats, según Alex Manuskin, investigador de la wallet de criptomonedas ZenGo.

El fin de semana pasado, el usuario anónimo, llamado "Jhon Doe" (el equivalente inglés a "Fulano") por razones de privacidad (y deliberadamente mal escrito por razones desconocidas), se topó con un nuevo proyecto DeFi  de agricultura de rendimiento llamado UniCats y decidió transferir algunos tokens de Uniswap a su fondo de liquidez.

Manuskin especuló que el usuario podría haber pensado "quién sabe, podría ser el próximo YFI". Esta es una referencia al proyecto DeFi experimental no auditado de Yearn.finance, que pasó de cero a 40.000 dólares en dos meses.

En el proceso, la plataforma pidió permiso para gastar un número ilimitado de tokens, lo que Doe aceptó ya que es una práctica relativamente común en el mundo DeFi. Después de cultivar algunos tokens de MEOW, el usuario sacó su UNI de la pool.

Poco sabía que el desarrollador de UniCats creó una puerta trasera en el contrato inteligente que le dio el control sobre los tokens incluso después de ser retirados de la plataforma.

"Lo que Jhon no sabe, es que una vez que aprobó el contrato para usar los tokens [infinitos], el contrato puede tomar sus tokens en cualquier momento. Incluso después de que fueron retirados del esquema de cultivo", dijo Manuskin.

Gracias a esta puerta trasera, el creador de UniCats pudo usar la función llamada "setGovernance" para arrebatar las fichas de Doe. En dos rápidas transacciones, el usuario perdió 26.000 y 10.000 UNI, por valor de unos 94.000 y 38.000 dólares, respectivamente. Las monedas se cambiaron por algo más de 416 Wrapped Ether (unos 147.000 dólares) en la plataforma DeFi Uniswap. Y Doe no fue la única víctima.

"Los 140.000 dólares son sólo de una víctima. El culpable ganó al menos 50.000 dólares más de otras víctimas. Podría ser aún más, es un poco difícil de cuantificar debido a que se hicieron transacciones separadas", dijo Manuskin a Decrypt.

Añadió que es la primera vez que ha visto este tipo de ataque utilizado deliberadamente en piscinas de agrigultura de rendimiento en DeFi, aunque un hack similar fue utilizado contra Bancor hace poco tiempo. Sin embargo, Bancor sufrió un exploit, no un backdoor intencional creado por los desarrolladores, explicó Manuskin.

También señaló que el desarrollador de UniCats crea contratos inteligentes adicionales para cada nueva víctima con el fin de cubrir sus huellas. El desarrollador luego mueve los fondos robados al mezclador criptográfico Tornado Cash —una forma de hacer más difícil que las compañías de análisis de blockchain sigan el dinero.

Manuskin instó a los usuarios a que sólo aprobaran las monedas que quisieran gastar, ya que la cantidad aprobada se reduce a cero después de que el contrato la usa, o a que revocaran el acceso a sus fondos después.

"Gran parte del problema se debe al hecho de que los usuarios son cómplices de aprobar cantidades infinitas, ya que esto es lo habitual también en los dapps populares", explicó a Decrypt, y añadió que "Por el lado de los dapps, deberían considerar la posibilidad de promover sólo para permitir la cantidad necesaria, incluso si esto causa molestias al usuario". Del lado de la billetera, las billeteras deben alertar al usuario de que está dando permiso a todas sus monedas actuales y futuras".

Porque nadie quiere aprobar una transacción que podría liberarlos de todo su dinero.