Ethereum-Nutzer um 140.000 Dollar in UNI betrogen

0
1493

Die auf Ethereum basierende “Ertragszüchtungsplattform” UniCats hat angeblich Krypto im Wert von mindestens 200.000 Dollar von mehreren Benutzern gestohlen.

Laut Alex Manuskin, Forscher bei Crypto Wallet ZenGo, hat ein Ethereum-Benutzer UNI, das Governance-Zeichen der dezentralisierten Finanzplattform (DeFi) Uniswap, im Wert von 140.000 Dollar verloren, um das Farming-Projekt UniCats zu finanzieren.

Laut Manuskin können DeFi-Protokolle in ihrem Smart-Contract ein Schlupfloch haben, das es erlaubt, die Kontrolle über die Tokens ihrer Nutzer zu behalten, selbst wenn diese aus ihrem Pool genommen wurden.

Wie der Forscher bemerkte, begann der erste Schritt für das 140.000-Dollar-Verlustopfer wahrscheinlich mit der Jagd nach DeFi-Gewinnen, wobei der Name des Meme Token, UniCats, vermutlich ausreicht, um potenziellen Investoren zu sagen, dass das Projekt kein wirkliches Versprechen verspricht.

Der Benutzer hinterlegte einen UNI-zu-UniCats-Liquiditätspool, um einige $MEOW-Token zu farmen, wobei die typische Nachricht “Erlauben Sie dieser dApp, Ihre UNI auszugeben” auftauchte. In dieser Genehmigungsnachricht bemerkte der Benutzer nicht, dass er dem Smart-Contract erlaubt hatte, eine unendliche Menge an Token von der Adresse auszugeben, selbst nachdem er dem Pool Liquidität entzogen hatte.

Der Eigentümer des UniCats-Protokolls nutzt dann die “setGovernance”-Hintertür zum Smart Contract des Projekts, um die UNI-Tokens in zwei separaten Transaktionen zu stehlen. Zunächst für 26.000 und dann für 10.000 UNI im Wert von insgesamt 132.000 Dollar zum Zeitpunkt der Transaktion.

Die gestohlenen Gelder wurden anschließend einige Stunden später auf Uniswap gegen 416 Wrapped Ether (wETH) im Wert von ca. 147.000 Dollar eingetauscht. Per Manuskin ist es schwierig, genau zu berechnen, wie viele Benutzer bei diesem Trick scheitern, denn der Besitzer von UniCats stahl UNI im Wert von etwa 50.000 Dollar von anderen Opfern.

Manuskin drängte die Nutzer, nur Token zu genehmigen, die sie ausgeben wollen, da der genehmigte Betrag nach der Verwendung durch den Vertrag auf Null zurückgeht, oder den Zugang zu ihren Geldern danach zu widerrufen.

“Auf der Dapp-Seite sollten sie in Erwägung ziehen, nur Werbung zu machen, um den notwendigen Betrag zu erlauben, auch wenn dies dem Benutzer Unannehmlichkeiten bereitet. Auf der Wallet-Seite sollten die Wallets einen Benutzer darauf aufmerksam machen, dass er die Erlaubnis für alle seine aktuellen und zukünftigen Token erteilt.”

 

Bild@ Pixabay / Lizenz

Hinterlasse einen Kommentar

Please enter your comment!
Please enter your name here