UniCats mauls donne des rendements aux agriculteurs alors que le battage médiatique du marché DeFi diminue

DeFi Digest d’OKEx Insights est un examen hebdomadaire du secteur financier décentralisé.

Aperçu du marché DeFi

Le marché de la finance décentralisée a plongé cette semaine alors que la valeur totale verrouillée dans les produits DeFi est passée de 11,1 milliards de dollars à 10,1 milliards de dollars.

Uniswap a maintenu sa position de leader du marché avec une part de marché de 22% de la valeur totale en USD bloquée. La bourse décentralisée disposait également du plus grand pool de liquidités et a étendu sa domination du volume des transactions de 54% à 62%..

Dans le domaine des prêts décentralisés, Compound a continué de dominer avec une part de marché de 49%. Aave était à la deuxième place avec une part de marché de 37%.

Certaines mesures clés dans le monde DeFi ont diminué avec cette semaine. Sources: DeFi Pulse et DeBank

Jetons DeFi nageant dans une mer de rouge

Cela a été une semaine relativement statique en termes de développements majeurs de DeFi. L’intérêt d’achat pour les jetons DeFi a diminué, ce qui a conduit à des liquidations pour la plupart des projets. En conséquence, le marché plus large de DeFi a été inondé d’une mer de rouge alors que certains jetons ont vu des baisses de prix spectaculaires..

La plupart des jetons DeFi ont subi des pertes cette semaine, certaines pires que d’autres. La source: Pièce360

DFI.money est le premier perdant avec une perte de valeur de 52%. Les principaux responsables du marché automatisé ont également été parmi les plus durement touchés par la vente de cette semaine – Curve (CRV), SushiSwap (SUSHI) et Uniswap (UNI) ont subi des pertes hebdomadaires d’environ 45%, 44% et 26%, respectivement..

UniCats a malmené les agriculteurs à rendement

UniCats, un protocole DeFi agricole à rendement similaire à SushiSwap ou YAM finance, a attiré l’attention de la communauté DeFi cette semaine, car les utilisateurs ont perdu leurs soldes de jetons en conséquence directe des contrats intelligents malveillants..

Tel que dévoilé par le chercheur de ZenGo Alex Manuskin, un utilisateur anonyme, surnommé "Jhon Doe," perdu Des jetons de gouvernance UNI d’une valeur de 140 000 USD lorsqu’ils ont participé à la culture de rendement UniCats. Les données d’Etherscan montrent que l’utilisateur examiné a perdu presque 26 757 UNI et 10 703 UNI en deux transactions le 4 octobre.

Utilisateur Twitter anonyme "Jhon Doe" perdu plus de 37 000 UNI en deux transactions. Source: Etherscan


Une faille courante et dangereuse dans DeFi

L’incident d’UniCats a une fois de plus révélé une pratique courante et dangereuse dans la sphère DeFi – à savoir que les opérateurs de protocole peuvent demander l’autorisation de retirer un nombre illimité de jetons des portefeuilles des clients. Cette pratique peut être effectuée par UniCats ‘ "ensembleGouvernance" fonction, qui permet à la plate-forme d’avoir un contrôle total sur les actifs des utilisateurs – même après que les utilisateurs ont retiré leurs actifs d’UniCats.

Dans le cas de "Jhon Doe," l’utilisateur a d’abord déposé UNI dans UniCats pour participer à l’agriculture de rendement. Semblable au message d’approbation d’autres protocoles DeFi de culture de rendement, ils ont approuvé le message dans MetaMask pour exécuter le dépôt d’UNI. Cependant, l’utilisateur ne savait pas que le message d’approbation permettait à UniCats de retirer ses jetons à tout moment..

Le message d’approbation dans MetaMask permet aux DApp de dépenser les jetons des utilisateurs. La source: Alex Manuskin sur Twitter

Selon Manuskin, UniCats exploite les fonds des utilisateurs en créant d’abord un nouveau contrat intelligent et en transférant la propriété de la ferme au nouveau contrat. Lorsqu’un utilisateur dépose des fonds sur le contrat intelligent, UniCats peut retirer l’UNI et les échanger contre de l’éther dans Uniswap. Après avoir échangé les fonds dans Uniswap, l’ETH sera ensuite transféré à l’adresse d’UniCats. Pour couvrir les traces des fonds volés, l’équipe d’UniCats a déplacé et mélangé des transactions en vrac de 100 ETH avec d’autres fonds via Tornado.cash.

UniCats n’est pas le premier protocole DeFi à souffrir d’une faille de contrat intelligent qui autorise des retraits infinis. Bancor Network, un protocole de liquidité en chaîne, identifié une faille similaire le 17 juin qui permet aux pirates de voler des fonds aux utilisateurs qui ont interagi avec le contrat intelligent de Bancor. Lorsque l’équipe Bancor a reconnu la vulnérabilité, elle décidé d’attaquer le contrat par un chapeau blanc avant que des acteurs malveillants ne drainent les fonds des utilisateurs.

Echappatoires et limitations des jetons ERC-20

Les failles des contrats intelligents qui autorisent des retraits infinis découlent des limitations de l’ERC-20. Les contrats intelligents basés sur la norme ERC-20, tels que Bancor et UniCats, ne peuvent pas détecter si un utilisateur a transféré les fonds vers le contrat. Le contrat nécessite une approbation prédéfinie pour transférer ou retirer des fonds au nom de l’utilisateur. L’approbation a généralement été définie comme un retrait infini, ce qui a atténué les frais de gaz et les délais d’approbation des retraits..

Des normes de jeton alternatives ont tenté de résoudre cette faille. Par exemple, la norme ERC-223 supprime la nécessité d’approuver les retraits. Cependant, l’adoption de la norme ERC-223 est limité en raison d’une utilisation excessive de gaz et de la friction créée lors de la migration des données de l’ERC-20 vers la norme ERC-223.

Dans un commentaire à OKEx Insights, Manuskin estime qu’il est plus sûr pour les producteurs de rendement d’investir uniquement dans des protocoles DeFi bien établis et audités. Il expliqua:

"L’interaction avec les fermes dépend du niveau de risque que vous êtes prêt à assumer. Il existe toujours un moyen sûr de n’utiliser que des contrats bien établis et vérifiés. Ce n’est pas une garantie d’absence de problèmes de sécurité, mais c’est bien mieux que rien. Certains utilisateurs peuvent vouloir «dégénérer» dans de nouveaux projets qui n’auront peut-être pas le temps de subir un audit officiel. Naturellement, c’est plus risqué. [Mais] si le projet a une valeur réelle, les membres de la communauté eux-mêmes peuvent lire le contrat et effectuer un audit informel."

En outre, Manuskin estime que les utilisateurs doivent prêter attention aux contrats qui peuvent être mis à niveau, car ils présentent une situation particulièrement dangereuse. Il a noté:

"Il faut faire attention aux contrats qui peuvent être mis à niveau. Il s’agit d’un modèle de conception courant, mais s’il n’y a qu’un seul propriétaire qui peut effectuer la mise à niveau, vous lui faites confiance pour ne pas abuser de son pouvoir. Ils peuvent mettre à niveau le contrat vers un contrat malveillant, même s’il est totalement sûr au début."

Soyez un agriculteur à rendement rationnel

L’affaire de "Jhon Doe" et UniCats n’est qu’un instantané de l’état actuel de l’agriculture de rendement, où les utilisateurs sont prêts à entrer dans des protocoles DeFi inconnus ou non audités pour maximiser leurs rendements de rendement. Cela peut également être vu dans le récent incident de sécurité d’Eminence Finance. Un protocole DeFi inachevé par Andre Cronje, fondateur de yield.finance, Eminence souffert d’un piratage de 15 millions de dollars – cependant, la moitié des fonds ont été retournés. Alors que Cronje affirmait que le protocole Eminence était en phase de test, certains agriculteurs versé leurs fonds dans le protocole, sans comprendre comment cela fonctionne.   

Alors que le battage médiatique autour de l’agriculture de rendement commence à diminuer, les cas récents d’UniCats et d’Eminence peuvent être une bonne raison pour que les agriculteurs de rendement s’arrêtent et prennent le temps d’investir de manière rationnelle. Cronje aussi donné des conseils similaires aux agriculteurs de rendement quand il implorait, "Si vous ne le comprenez pas, veuillez ne pas l’utiliser."

OKEx Insights présente des analyses de marché, des fonctionnalités approfondies, des recherches originales & actualités organisées par des professionnels de la cryptographie.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map