UniCats-malm giver landbrugere, når DeFi-markedshype dør ud
OKEx Insights ‘DeFi Digest er en ugentlig undersøgelse af den decentrale finansieringsindustri.
Snapshot af DeFi-marked
Det decentrale finansieringsmarked dykkede i denne uge, da den samlede værdi låst i DeFi-produkter faldt fra $ 11,1 milliarder til $ 10,1 milliarder.
Uniswap fastholdt sin position som markedsleder med en markedsandel på 22% af den samlede USD-værdi låst. Den decentrale børs havde også den største likviditetspulje og udvidede sin dominans af handelsvolumen fra 54% til 62%.
I den decentrale udlånssfære fortsatte Compound med at dominere med en markedsandel på 49%. Aave var på andenpladsen med en markedsandel på 37%.
Nogle nøglemålinger i DeFi-verdenen så fald i denne uge. Kilder: DeFi-puls og DeBank
DeFi-tokens svømmer i et rødt hav
Det har været en relativt statisk uge med hensyn til større DeFi-udviklinger. Købsinteressen for DeFi-tokens aftog, og dette førte til salg for de fleste projekter. Som et resultat var det bredere DeFi-marked oversvømmet i et hav af rødt, da nogle tokens så dramatiske prisfald.
De fleste DeFi-tokens opretholdt tab i denne uge, hvoraf nogle var værre end andre. Kilde: Mønt360
DFI.money er den største taber med et 52% tab i værdi. De førende automatiserede markedsproducenter var også blandt de hårdest ramt i denne uges salg – Curve (CRV), SushiSwap (SUSHI) og Uniswap (UNI) tog ugentlige tab på henholdsvis ca. 45%, 44% og 26%.
UniCats ødelagde afkastbønder
UniCats, en DeFi-protokol med afkast, der ligner SushiSwap eller YAM-finansiering, tiltrak DeFi-samfundets opmærksomhed i denne uge, da brugerne mistede deres token-saldi som et direkte resultat af de ondsindede smarte kontrakter..
Som afsløret af ZenGo-forskeren Alex Manuskin, en anonym bruger, døbt "Jhon Doe," faret vild UNI-styringstokens til en værdi af $ 140.000, da de deltog i UniCats giver landbrug. Data fra Etherscan viser, at den bruger, der undersøges, næsten mistede 26.757 UNI og 10.703 UNI i to transaktioner den 4. oktober.
Anonym Twitter-bruger "Jhon Doe" mistede mere end 37.000 UNI i to transaktioner. Kilde: Etherscan
Et almindeligt og farligt smuthul i DeFi
UniCats hændelse har igen afsløret en almindelig og farlig praksis inden for DeFi-sfæren – nemlig at protokoloperatører kan anmode om tilladelse til at trække et ubegrænset antal poletter fra kundernes tegnebog. Denne praksis kan udføres af UniCats ‘ "setGovernance" funktion, som gør det muligt for platformen at have fuld kontrol over brugernes aktiver – selv efter at brugere trak deres aktiver fra UniCats.
I tilfælde af "Jhon Doe," brugeren deponerede først UNI i UniCats for at deltage i udbytteopdræt. Svarende til godkendelsesmeddelelsen fra andre DeFi-protokoller med udbytteopdræt, godkendte de meddelelsen i MetaMask for at udføre deponeringen af UNI. Imidlertid var brugeren ikke opmærksom på, at godkendelsesmeddelelsen tillader UniCats at trække deres tokens tilbage når som helst.
Godkendelsesmeddelelsen i MetaMask giver DApps mulighed for at bruge brugernes tokens. Kilde: Alex Manuskin på Twitter
Ifølge Manuskin udnytter UniCats brugernes midler ved først at oprette en ny smart kontrakt og overføre ejerskabet af gården til den nye kontrakt. Når en bruger deponerer midler til den smarte kontrakt, kan UniCats trække UNI ud og bytte dem til Ether i Uniswap. Efter at have byttet midlerne i Uniswap, overføres ETH derefter til UniCats ‘adresse. For at dække sporene fra de stjålne midler flyttede UniCats-teamet og blandede bulk-transaktioner på 100 ETH med andre midler via Tornado.cash.
UniCats er ikke den første DeFi-protokol, der lider af et smukt kontrakthul, der tillader uendelige tilbagetrækninger. Bancor Network, en likviditetsprotokol på kæden, identificeret et lignende smuthul den 17. juni, der giver hackere mulighed for at stjæle penge fra brugere, der interagerede med Bancors smarte kontrakt. Da Bancor-teamet anerkendte sårbarheden, det besluttet at white-hat angribe kontrakten, før ondsindede aktører kunne dræne brugernes midler.
Smuthuller og ERC-20 token begrænsninger
Smarte kontrakthuller, der tillader uendelige tilbagetrækninger, stammer fra ERC-20-begrænsninger. Smarte kontrakter baseret på ERC-20-standarden, såsom Bancor og UniCats, kan ikke registrere, om en bruger har overført midlerne til kontrakten. Kontrakten kræver en forudindstillet godkendelse til at overføre eller hæve midler på brugerens vegne. Godkendelsen er typisk sat som en uendelig tilbagetrækning, hvilket mindskede gasafgifter og godkendelsestider for tilbagetrækning.
Alternative token-standarder forsøgte at løse dette smuthul. For eksempel fjerner ERC-223-standarden behovet for at godkende udbetalinger. Imidlertid er vedtagelsen af ERC-223-standarden begrænset på grund af overdreven gasforbrug og friktionen, der skabes, når data overføres fra ERC-20 til ERC-223-standarden.
I en kommentar til OKEx Insights mener Manuskin, at det er sikrest for afkastbønder kun at investere i veletablerede og reviderede DeFi-protokoller. Han forklarede:
"Interaktion med gårde afhænger af, hvor stor risiko du er villig til at påtage dig. Der er altid den sikre rute, hvor man kun bruger veletablerede og reviderede kontrakter. Dette er ikke en garanti for ingen sikkerhedsproblemer, men det er meget bedre end ingenting. Nogle brugere vil muligvis ‘degenere’ til nye projekter, der muligvis ikke har tid til at gennemgå en officiel revision. Dette er naturligvis mere risikabelt. [Men] hvis projektet har reel værdi, kan samfundets medlemmer selv læse kontrakten og udføre en uformel revision."
Desuden mener Manuskin, at brugerne skal være opmærksomme på kontrakter, der kan opgraderes, da de udgør en særlig farlig situation. Han bemærkede:
"Noget at passe på er kontrakter, der kan opgraderes. Dette er et almindeligt designmønster, men hvis der er en enkelt ejer, der kan udføre opgraderingen, stoler du på dem for ikke at misbruge deres magt. De opgraderer muligvis kontrakten til en ondsindet, selvom den først er helt sikker."
Vær en rationel udbytter
Sagen om "Jhon Doe" og UniCats er blot et øjebliksbillede af den aktuelle tilstand for udbytteopdræt, hvor brugerne er villige til at indgå i ukendte eller ikke-reviderede DeFi-protokoller for at maksimere deres udbytteafkast. Dette kan også ses i den nylige sikkerhedshændelse i Eminence Finance. En ufærdig DeFi-protokol af yield.finance-grundlægger Andre Cronje, Eminence lidt fra et hack på 15 millioner dollars – dog blev halvdelen af pengene returneret. Mens Cronje hævdede, at Eminence-protokollen var i testfasen, giver nogle landmænd stadig hældes deres midler til protokollen uden at forstå, hvordan det fungerer.
Da hype omkring udbytteavl begynder at dø, kan de nylige tilfælde af UniCats og Eminence give en god grund til, at udbyttebønder stopper og tager sig tid til at investere rationelt. Cronje også gav lignende råd til at give landmænd, når han bønfaldt, "Hvis du ikke forstår det, skal du ikke bruge det."
OKEx Insights præsenterer markedsanalyser, dybtgående funktioner, original forskning & kuraterede nyheder fra kryptoprofessionelle.