خسر أحد المستثمرين ما قيمته 140 ألف دولار من عملات UNI الرقمية.
للتذكير العملة الرقمية UNI هي عملة رقمية تعود لمنصة التداول اللامركزي “Uniswap”.
خسارة هذا المستثمر تأتي بعد أن أودع أمواله في مشروع تمويل لامركزي جديد يحمل إسم “UniCats”، وذلك وفقا لـ “أليكس مانوسكين” الباحث في محفظة العملات الرقمية “ZenGo”.
حيثيات هذه الخسارة الكبيرة تعود لعطلة نهاية الأسبوع الماضي، حيث عثر المستخدم المسمى “جون دوي” على مشروع جديد في مجال “Yield Farming” يسمى “UniCats” وقرر نقل بعض عملات UNI إلى مجمع السيولة الخاص بهذا المشروع الجديد.
If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
👇 pic.twitter.com/QltkevnzDY— Alex Manuskin (@amanusk_) October 5, 2020
وفقا للباحث “مانوسكين” فإن هذا المستخدم ربما كان يفكر بأنه عثر على المشروع الكبير التالي في ساحة التمويل اللامركزية والذي تكهن بأنه من الممكن أن يفعل مثلما فعل مشروع “Yearn.finance” الذي انتقل من القيمة صفر إلى 40000 دولار في شهرين.
تداول المستخدم “جون دوي” ما يملكه من عملات UNI مقابل العملات الرقمية “MEOW” التي تعود لمشروع “UniCats”.
ليقوم بعدها مطور المشروع UniCats بسحب جميع العملات UNI المودعة في مشروعه، حيث قام سلفا بإنشاء باب خلفي في العقد الذكي لمشروع UniCats والذي منحه القدرة والتحكم في سحب الأموال المودعة في مجمع السيولة.
بمعنى بفضل هذا الباب الخلفي، تمكن مؤسس مشروع UniCats من استخدام استدعاء “setGovernance” ليسحب عملات المستثمر “جوي دوي” .
من خلال معاملتين سريعتين، خسر هذا المستثمر ما مقداره 26000 و 10000 من عملات UNI – بقيمة 94000 دولار و 38000 دولار على التوالي.
تم بعد ذلك تبديل عملات UNI المسروقة مقابل ما يزيد قليلا عن 416 ايثيريوم (حوالي 147000 دولار) على Uniswap.
ووفقا للباحث “مانوسكين” فإن العملات الرقمية التي حصل عليها مطور مشروع UniCats لا تعود لهذا المستثمر وحسب بل سبقه العديد من المستخدمين الذين وقعوا في نفس الخطأ.
وقدر “مانوسكين” أن هذا المطور قد حصل على أكثر من 50 ألف دولار من ضحابا آخرين قبل “جوي”.
وأضاف أن هذه هي المرة الأولى التي يرى فيها هذا النوع من الهجوم يستخدم بشكل عمدي كود برمجي خبيث، على الرغم من استخدام اختراق مماثل ضد مشروع “Bancor” منذ فترة قصيرة.
وأوضح “مانوسكين” أن “Bancor” عانى من استغلال، وليس باب خلفي متعمد أنشأه المطورون، كما أشار إلى أن مطور UniCats ينشئ عقودا ذكية إضافية لكل ضحية جديدة لتغطية مساراته.
بعدها يقوم المطور بنقل الأموال المسروقة إلى أداة خلط العملات المشفرة “Tornado Cash” وهي طريقة تجعل من الصعب على شركات تحليلات البلوكشين تتبع الأموال.
وأوضح “مانوسكين” لـ المصدر:
العقود الذكية لايمكن التراجع عنها بعد الموافقة، لذا يجب على المستثمرين أن يعلموا ما يقومون به من إيداع أموالهم والموافقة على تبادلها.
يرجع جزء كبير من المشكلة إلى حقيقة أن المستخدمين متواطئون للموافقة على مبالغ غير محدودة، حيث أن هذا هو المعيار في التطبيقات اللامركزية الشائعة.
Each new contract fishes out some funds, swaps them on Uniswap, and passes them to and address owned by UniCat. Stolen ETH are then moved into @TornadoCash , in bulks of 100ETH before moving on to the next victimhttps://t.co/N8A4ULC2tp
— Alex Manuskin (@amanusk_) October 5, 2020
ويمكن تشبيه ما أشار إليه “مانوسكين” بالتطبيقات التقليدية التي تقتص حقوق الاشتراكات بشكل شهري بعد الموافقة الأولى من المستخدم.
لذا فإن القراءة المتأنية والبحث العميق والسؤال والاستشارة هي السبل الوحيدة للنجاة من مشاريع مثل مشروع UniCats.
اقرأ أيضا:
الكشف عن مشروع تمويل لامركزي احتيالي وتواطؤ أسماء بارزة في سوق الكريبتو … التفاصيل هنا
بعد يومين من الإطلاق… مشروع تمويل لامركزي يختفي مع 20 مليون دولار من أموال المستثمرين
