Recentemente a onda do DeFi vem tomando conta do criptomercado, com muitos investidores tentando encontrar a mais nova moeda que vai valorizar como a UNISwap ou a Chainlink. No entanto, alguns acabaram caindo em uma armadilha após terem apostado na moeda UniCat, o protocolo aproveitou um de seus contratos para roubar criptomoedas da carteira dos compradores.
“Se você ainda não está convencido que NÃO deveria aprovar saques infinitos de tokens para qualquer contrato/Dapp, aqui está uma história de como alguém perdeu US$ 140 mil em UNI do dia para noite.”
If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
👇 pic.twitter.com/QltkevnzDY— amanusk(.eth) (@amanusk_) October 5, 2020
De acordo com uma série de tuítes de Alex Manuskin, um dos pesquisadores de ZenGo, um protocolo DeFI foi capaz de roubar mais de US$ 140 mil (Cerca de R$ 780 mil) de um investidor, mesmo após eles terem retirado os valores do protocolo. Sendo assim, a UniCat foi capaz de tirar os valores diretamente da carteira dos usuários.
O problema aconteceu por causa de uma particularidade dos protocolos DeFi: Esses protocolos pedem autorização através do MetaMask para poder fazer saques da carteira do cliente. Protocolos como o Kyber, UniSwap e Compound pedem esse tipo de autorização, no entanto, diferente desses protocolos reconhecidos, o UniCat aproveitou essa característica para realizar atividades ilícitas.
De acordo com o pesquisador, o contrato do UniCats escondeu uma função setGovernance que permitia que o desenvolvedor pudesse executar diferentes funções utilizando dados que passaram pelo contrato, incluindo tokens e endereços.
Segundo Alex, o dono do protocolo utilizou esse backdoor para iniciar uma função que transferiu tokens UNI da carteira do cliente diretamente para a dele. Logo depois, os valores foram trocados por ETH na Uniswap. Ao todo, um total de 26 mil tokens UNI foram roubados durante a operação.
Tudo isso sem o cliente ter ideia do que estava acontecendo, já que ele já tinha retirado os valores do contrato.
Criador do UniCat está escondendo seus rastros
Ainda de acordo com o Twitt postado pelo pesquisador, o criador do UniCat está tentando esconder seus passos. Além de ter enviado os tokens roubados para um mixer de endereço para dificultar o rastreio, ele também está criando um novo contrato para cada nova vítima do golpe.
Se você já usou o protocolo UniCat em algum momento, o pesquisador ressalta que é importante revogar todas as permissões que você disponibilizou para o contrato até o momento. Ele também alertou para nunca dar esse tipo de autorização para qualquer contrato não auditado.
Por enquanto o DeFi continua se assemelhando muito com o que aconteceu em 2017 com as ICOs. Muita gente tentando ficar rica com diferentes promessas, mas muitas vezes perdendo muito dinheiro.
