您也在追逐高收益的 DeFi 挖礦嗎?現有用戶遭到新的 DeFi 挖礦項目 UniCats 詐騙逾 14 萬美元;到底發生什麼事呢?投資人又該注意哪些事?
加密錢包 ZenGo 的研究員馬紐斯基(Alex Mauniskin)昨(5)日揭露,DeFi 項目 UniCats 利用高收益挖礦,詐騙逾 20 萬美元等值的 UNI 代幣(約 580 萬台幣)。
If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
? pic.twitter.com/QltkevnzDY— Alex Manuskin (@amanusk_) October 5, 2020
漏洞在哪?
大多數的 DeFi 協議都要求用戶點選「approve infinite tokens」的選項,其目的在於下次在該 DeFi 協議中調用資金(提取或存入)時,就不需要再額外花費手續費(GAS Fee)。
理論上,這並不影響用戶的資產安全性,因為這只是允許 DeFi 調用錢包簽章,但是在移轉資金時,還是需要經過用戶確認。
然而,UniCats 在其智能合約中偷藏了個後門「setGovernance」。這個功能可以讓 DeFi 項目「無限制地」調動用戶錢包資金,即使用戶沒有先確認也可以調用資金。
於是所有追求高收益在上面挖礦的農夫資金全都不翼而飛,其中 Jhon Doe(暱稱)就這樣被騙了 14 萬美元。
馬紐斯基表示,這個 setGovernance 的後門讓 JhonDoe 在先後兩次快速調用資金中分別損失了 26,000 顆和 10,000 顆 UNI,依照當時 UNI 價格,約等於 94,000 和 38,000 美元。
而 UniCats 得手後,則是迅速將 UNI 代幣換成 ETH(以太幣),並將其轉入混幣器 Tornado Cash 中,這也讓人懷疑 UniCats 早有預謀。
Photo Credit: UniCats
該如何預防?
《桑幣》建議讀者做好下列三項自保事項:
- 對陌生項目不輕易按下「approve infinite tokens」。
- 準備多個帳戶,將資金分開存放。
- 隨時斷開連結。
首先,幾乎所有 DeFi 項目具有「approve infinite tokens」,所以《桑幣》建議除了那些知名且團隊透明公開的項目外,一律不要確認「approve infinite tokens」這個選項,寧可多花手續費,也不要承擔風險。
另外,像 UniCats 這類的詐騙項目通常一開始會保持正常,如果用戶已經按下「approve infinite tokens」的話,切記將資產分開存放,例如在 Metamask 錢包中設立多的帳戶,將流動性挖礦的資金劃轉至另外帳戶,並且在提領抵押資金後,立刻將資金劃轉至其他帳戶,甚至是利用較大的交易所,例如 FTX 或是幣安作為中繼帳戶。
最後,在錢包中的選項中有「Connection」選項,裡面會顯示已經連結的 DeFi 項目,只要用戶挖礦完成或不再使用,就立刻刪除連結。
Photo credit: Zombit
