UniCats maul menghasilkan petani kerana gembar-gembur pasaran DeFi semakin merosot

OKEx Insights ‘DeFi Digest adalah pemeriksaan mingguan industri kewangan yang terdesentralisasi.

Petikan pasaran DeFi

Pasaran kewangan terdesentralisasi merosot minggu ini kerana jumlah nilai yang terkunci dalam produk DeFi turun dari $ 11.1 bilion menjadi $ 10.1 bilion.

Uniswap mengekalkan kedudukannya sebagai peneraju pasaran dengan pangsa pasar 22% dari jumlah nilai USD terkunci. Pertukaran yang terdesentralisasi juga mempunyai kumpulan kecairan terbesar dan memperluas dominasi jumlah dagangannya dari 54% menjadi 62%.

Dalam bidang pinjaman yang terdesentralisasi, Compound terus menguasai dengan pangsa pasar 49%. Aave berada di tempat kedua dengan pangsa pasar 37%.

Beberapa metrik utama di dunia DeFi mengalami penurunan dengan minggu ini. Sumber: Denyutan DeFi dan DeBank

Token DeFi berenang di lautan merah

Sudah seminggu yang relatif statis dari segi perkembangan DeFi utama. Minat membeli token DeFi berkurang dan ini menyebabkan penjualan kebanyakan projek. Akibatnya, pasar DeFi yang lebih luas dipenuhi lautan merah ketika beberapa token menyaksikan penurunan harga yang dramatik.

Sebilangan besar token DeFi mengalami kerugian minggu ini, dengan yang lebih teruk daripada yang lain. Sumber: Syiling360

DFI.money adalah yang paling rugi dengan nilai kerugian 52%. Pembuat pasaran automatik terkemuka juga antara yang paling teruk terjejas dalam penjualan minggu ini – Curve (CRV), SushiSwap (SUSHI) dan Uniswap (UNI) mengalami kerugian mingguan masing-masing sekitar 45%, 44% dan 26%..

UniCats menganiaya petani hasil

UniCats, protokol DeFi hasil pertanian yang serupa dengan kewangan SushiSwap atau YAM, menarik perhatian komuniti DeFi minggu ini kerana pengguna kehilangan baki token mereka sebagai akibat langsung dari kontrak pintar berbahaya.

Seperti yang dilancarkan oleh penyelidik ZenGo, Alex Manuskin, pengguna tanpa nama, dijuluki "Jhon Doe," hilang Token tadbir urus UNI bernilai $ 140,000 ketika mereka menyertai pertanian hasil UniCats. Data dari Etherscan menunjukkan bahawa pengguna yang diperiksa hilang hampir 26,757 UNI dan 10,703 UNI dalam dua transaksi pada 4 Oktober.

Pengguna Twitter tanpa nama "Jhon Doe" kehilangan lebih daripada 37,000 UNI dalam dua transaksi. Sumber: Etherscan

Celah biasa dan berbahaya di DeFi

Insiden UniCats sekali lagi telah mendedahkan praktik umum dan berbahaya dalam bidang DeFi – iaitu, bahawa pengendali protokol boleh meminta kebenaran untuk menarik balik token dalam jumlah yang tidak terhad dari dompet pelanggan. Amalan ini dapat dilakukan oleh UniCats ‘ "setGovernance" berfungsi, yang membolehkan platform mempunyai kawalan penuh terhadap aset pengguna – walaupun pengguna menarik balik aset mereka dari UniCats.

Dalam kes "Jhon Doe," pengguna pertama kali memasukkan UNI ke UniCats untuk mengambil bahagian dalam pertanian hasil. Mirip dengan mesej kelulusan protokol DeFi hasil pertanian lain, mereka menyetujui mesej tersebut di MetaMask untuk melaksanakan deposit UNI. Walau bagaimanapun, pengguna tidak menyedari bahawa mesej kelulusan membenarkan UniCats menarik balik token mereka pada bila-bila masa.

Mesej kelulusan dalam MetaMask membolehkan DApps menghabiskan token pengguna. Sumber: Alex Manuskin di Twitter

Menurut Manuskin, UniCats mengeksploitasi dana pengguna dengan membuat kontrak pintar baru dan menyerahkan hak milik ladang kepada kontrak baru. Apabila pengguna memasukkan dana ke kontrak pintar, UniCats dapat menarik balik UNI dan menukarnya untuk Ether di Uniswap. Setelah menukar dana di Uniswap, ETH kemudian akan dipindahkan ke alamat UniCats. Untuk menutup jejak dana yang dicuri, pasukan UniCats bergerak dan mencampur urus transaksi pukal sebanyak 100 ETH dengan dana lain melalui Tornado.cash.

UniCats bukanlah protokol DeFi pertama yang mengalami celah kontrak pintar yang membenarkan pengeluaran tidak terbatas. Bancor Network, protokol kecairan dalam rantai, dikenal pasti celah yang serupa pada 17 Jun yang membolehkan penggodam mencuri dana dari pengguna yang berinteraksi dengan kontrak pintar Bancor. Apabila pasukan Bancor mengakui kerentanan, itu memutuskan untuk topi putih menyerang kontrak sebelum pelaku jahat dapat menguras dana pengguna.

Kekurangan celah dan had token ERC-20

Celah kontrak pintar yang membenarkan pengeluaran tanpa had berpunca daripada had ERC-20. Kontrak pintar berdasarkan standard ERC-20, seperti Bancor dan UniCats, tidak dapat mengesan sama ada pengguna telah memindahkan dana ke kontrak. Kontrak memerlukan kelulusan yang telah ditetapkan untuk memindahkan atau mengeluarkan dana bagi pihak pengguna. Kelulusan biasanya ditetapkan sebagai penarikan yang tidak terbatas, yang mengurangkan bayaran gas dan masa penarikan diri.

Piawaian token alternatif cuba menyelesaikan masalah ini. Sebagai contoh, standard ERC-223 menghilangkan keperluan untuk menyetujui pengeluaran. Walau bagaimanapun, penggunaan standard ERC-223 adalah terhad kerana penggunaan gas yang berlebihan dan geseran yang dihasilkan semasa memindahkan data dari ERC-20 ke standard ERC-223.

Dalam komen kepada OKEx Insights, Manuskin percaya bahawa adalah yang paling selamat bagi petani hasil hanya melabur dalam protokol DeFi yang mapan dan diaudit. Dia telah menerangkan:

"Berinteraksi dengan ladang bergantung pada seberapa besar risiko yang anda sanggup tanggung. Selalu ada jalan yang selamat hanya dengan menggunakan kontrak yang telah ditetapkan dan diaudit. Ini bukan jaminan tidak ada masalah keselamatan, tetapi jauh lebih baik daripada tidak ada. Sebilangan pengguna mungkin ingin ‘merosot’ ke dalam proyek baru yang mungkin tidak punya waktu untuk menjalani audit resmi. Secara semula jadi, ini lebih berisiko. [Tetapi] jika projek itu mempunyai nilai nyata, anggota masyarakat sendiri boleh membaca kontrak dan melakukan audit tidak rasmi."

Selanjutnya, Manuskin percaya pengguna harus memperhatikan kontrak yang dapat ditingkatkan, kerana mereka menghadirkan situasi yang sangat berbahaya. Dia menyatakan:

"Sesuatu yang perlu diperhatikan adalah kontrak yang boleh ditingkatkan. Ini adalah corak reka bentuk biasa, tetapi jika ada pemilik tunggal yang dapat melakukan peningkatan, anda mempercayai mereka agar tidak menyalahgunakan kuasa mereka. Mereka mungkin meningkatkan kontrak menjadi jahat, walaupun pada mulanya benar-benar selamat."

Jadilah petani hasil yang rasional

Kes dari "Jhon Doe" dan UniCats hanyalah gambaran mengenai keadaan pertanian hasil semasa, di mana pengguna bersedia memasuki protokol DeFi yang tidak dikenali atau tidak diaudit untuk memaksimumkan pulangan hasil mereka. Ini juga dapat dilihat dalam insiden keselamatan Eminence Finance baru-baru ini. Protokol DeFi yang belum selesai oleh pengasas yield.finance Andre Cronje, Eminence menderita dari peretasan $ 15 juta – walaupun, separuh daripada dana itu dikembalikan. Sementara Cronje mendakwa bahawa protokol Eminence sedang dalam tahap pengujian, beberapa petani menghasilkan dicurahkan dana mereka ke dalam protokol, tanpa memahami bagaimana ia berfungsi.   

Dengan gembar-gembur sekitar hasil pertanian mulai merosot, kes UniCats dan Eminence baru-baru ini mungkin memberikan alasan yang baik bagi petani hasil untuk berhenti dan meluangkan masa untuk membuat pelaburan secara rasional. Cronje juga memberi nasihat serupa untuk memberi petani ketika dia memohon, "Sekiranya anda tidak memahaminya, jangan gunakannya."

OKEx Insights menyajikan analisis pasaran, ciri mendalam, penyelidikan asli & berita yang disusun daripada profesional crypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map