Puntos importantes:
- Según el investigador Alex Manuskin, el contrato DeFI de Yield Farming “UniCats” puede tomar control de los fondos de usuarios aún cuando estos hayan sido retirados del contrato inteligente.
- Manuskin mostró que el contrato UniCats fue diseñado con una puerta trasera que le permite tener dicho control sobre datos transmitidos.
- El creador de UniCats sustrajo 37.460 UNI a un usuario identificado como “Jhon Doe”, monto equivalente a unos 147.000 dólares.
- Manuskin indicó que “UniCat” retiró 50.000 dólares en UNI de otros usuarios, e incitó a quienes hayan usado UniCats a revocar todos los permisos.
El investigador del monedero de criptoactivos ZenGo, Alex Manuskin, publicó este 5 de octubre a través de Twitter que el contrato inteligente UniCats, un proyecto DeFi del estilo Yield Farming (YFI) o Cultivo de Rendimiento, sustrajo cerca de 200.000 dólares en tokens UNI a sus usuarios.
Según un hilo de Manuskin en Twitter, un usuario de Ethereum identificado como “Jhon Doe” perdió alrededor de 147.000 dólares en tokens UNI “mientras dormía“. Cabe destacar que UNI es el token de “gobernanza” de la plataforma de intercambio DeFi Uniswap.
Manuskin contó que “Jhon Doe” invirtió en el contrato YFI llamado UniCats, depositando fondos UNI y explicó que el contrato muestra el siguiente mensaje: “Permita que este Dapp gaste su UNI” en la interfaz de Metamask, el puente entre los contratos inteligentes de Ethereum y navegadores web.
Manuskin siguió contando que el usuario “cultivó” algunos tokens MEOW del contrato UniCats y seguidamente retiró todos sus fondos UNI, cuya transacción se puede ver en el explorador Etherscan. Pero la historia apenas iba empezando.
De acuerdo con Manuskin, el contrato UniCats es capaz de acceder y gastar los fondos UNI de usuarios, aún cuando estos hayan sido retirados de UniCats: “Lo que Jhon no sabe es que una vez que aprobó el contrato para usar tokens, el contrato puede tomar sus tokens en cualquier momento. Incluso después de que fueron retirados del plan agrícola”, sentenció Manuskin.
Manuskin indicó que el propietario de UniCats, al que llamó “UniCat“, no sólo es “un bastardo codicioso” que maneja una estafa, sino que además “quiere perseguir todos los tokens aprobados de los usuarios“, apuntó el investigador.
El investigador de ZenGo agregó que esto es posible debido a que UniCat creó el contrato inteligente de UniCats con “una puerta trasera” que le permite “llamar a cualquier dato transmitido, a cualquier dirección”, a través del método conocido como setGovernance.
El creador de UniCat se valió de esa puerta trasera para llamar los tokens UNI que había retirado “Jhon Doe” de UniCats y los hizo regresar a dicho contrato y, posteriormente, los intercambió por ETH en la casa de cambio “descentralizada” Uniswap.
Manuskin dijo que, mientras “Jhon Doe” dormía, UniCat sustrajo parte de sus fondos UNI a través de dos transacciones: primero una de 10.703 UNI y luego una de 26.757 UNI, equivalentes a unos 41.000 dólares y 106.000 dólares, respectivamente. Cuando el usuario finalmente se da cuenta, movió el resto de sus fondos. Cabe destacar que Manuskin compartió los links de todas las transacciones vinculadas a las operaciones descritas, cuyos detalles se pueden ver a través de Etherscan.
Manuskin describió a UniCat como “un astuto bastardo“, y es que, para no dejar rastros y seguir cazando víctimas, con cada nueva víctima “crea un nuevo contrato inteligente y pasa la propiedad de la granja al nuevo contrato“, sentenció. Manuskin continuó explicando el modus operandi de UniCat y advirtió que este sigue activo en la búsqueda de nuevas víctimas y que utiliza el mezclador de cifrado Tornado Cash para dificultar el seguimiento de los fondos robados:
“Cada nuevo contrato saca algunos fondos, los intercambia en Uniswap y los pasa a la dirección que es propiedad de UniCat. Los ETH robados se trasladan a @TornadoCash , en bultos de 100 ETH antes de pasar a la siguiente víctima”.
Alex Manuskin, investigador en ZenGo.
En este sentido, Manuskin hizo un llamado a quienes hayan usado UniCats a revocar todos los permisos a través de herramientas como TAC, con el objetivo de evitar que caigan nuevas víctimas en manos de UniCat. Asimismo, recomendó a no aprobar más permisos de los necesarios, en especial cuando se trata de contratos inteligentes no auditados.
Hasta ahora, se sabe que “Jhon Doe” no ha sido la única víctima de UniCat. En declaraciones a Decrypt, Manuskin indicó que el creador de UniCats ha sustraído al menos 50.000 dólares más de otras víctimas.
Manuskin indicó al medio Decrypt que “gran parte del problema se debe al hecho de que los usuarios son cómplices para aprobar cantidades infinitas, ya que este también es el estándar en las dapps populares” y por el lado de los contratos inteligentes y las billeteras también hay mucha responsabilidad: “En el lado de las dapp, deberían considerar solo promocionar a permitir la cantidad necesaria, incluso si esto causa molestias al usuario. Por el lado de la billetera, las billeteras deben alertar al usuario de que están dando permiso a todos sus tokens actuales y futuros“, apuntó.
Las llamadas Finanzas Descentralizadas o DeFi no son más que contratos inteligentes en Ethereum, anteriormente conocidos simplemente como “DApps” o Aplicaciones Descentralizadas. Vitalik Buterin, cofundador de Ethereum llegó a mencionar que tales contratos inteligentes DeFi implicaban muchos riesgos que están siendo subestimados por los usuarios de DeFi.
Imagen destacada por Gerd Altmann/ pixabay.com