随着DeFi市场的炒作消退,UniCats短棍让农民受益

OKEx Insights的DeFi Digest是对去中心化金融行业的每周检查.

DeFi市场快照

由于DeFi产品的锁定总价值从111亿美元下降至101亿美元,分散化的金融市场本周下跌.

Uniswap保持了其市场领导者的地位,锁定了22%的美元总市值。去中心化交易所还拥有最大的流动性池,并将其交易量优势从54%扩大到62%.

在分散式贷款领域,化合物继续占据主导地位,市场份额为49%。 Aave以37%的市场份额排名第二.

本周,DeFi世界中的一些关键指标有所下降。资料来源: DeFi脉冲银行

DeFi代币在红色的海洋中游泳

就主要的DeFi开发而言,这是相对静止的一周。对DeFi代币的购买兴趣减弱,这导致大多数项目遭到抛售。结果,由于一些代币价格急剧下跌,整个DeFi市场充斥着一片红色的海洋.

本周大多数DeFi代币都遭受了损失,有些损失比其他损失还要严重。来源: 硬币360

DFI.money是最大的损失者,其价值损失了52%。领先的自动化做市商在本周的抛售中也遭受了最大的打击— Curve(CRV),SushiSwap(SUSHI)和Uniswap(UNI)分别遭受了每周约45%,44%和26%的损失。.

UniCats伤了产量的农民

UniCats是一种类似于SushiSwap或YAM金融的以收益为基础的DeFi协议,本周吸引了DeFi社区的关注,因为用户由于恶意智能合约的直接损失而失去了代币余额.

正如ZenGo研究人员Alex Manuskin所揭露的,该匿名用户被称为 "俊道," 丢失的 参与UniCat的UNI治理令牌价值14万美元,可以耕种农业。来自Etherscan的数据表明,被检查的用户几乎失去了 26,757 UNI10,703 UNI 在10月4日的两笔交易中.

匿名Twitter用户 "俊道" 在两笔交易中损失了超过37,000 UNI。资料来源:Etherscan


DeFi中常见且危险的漏洞

UniCats的事件再次暴露了DeFi领域中的一种常见且危险的做法-即协议运营商可以请求授权从客户的钱包中提取无限量的令牌。这种做法可以由UniCats的 "setGovernance" 功能,即使用户从UniCats撤回资产后,该平台也可以完全控制用户的资产.

如果是 "俊道," 用户首先将UNI存入UniCat,以参与产量农业。与其他收益农业DeFi协议的批准消息类似,他们在MetaMask中批准了该消息以执行UNI的存入。但是,用户不知道批准消息允许UniCat随时撤回其令牌。.

MetaMask中的批准消息允许DApps花费用户的令牌。来源: Alex Manuskin在Twitter上

根据Manuskin的说法,UniCats通过首先创建新的智能合约并将农场的所有权转让给新合约来利用用户的资金。当用户将资金存入智能合约时,UniCats可以提取UNI并将其交换为Uniswap中的Ether。在Uniswap中交换资金后,ETH将被转移到UniCats的地址。为了掩盖被盗资金的踪迹,UniCats团队通过Tornado将100 ETH的大宗交易与其他资金混合并混合在一起。.

UniCats并不是第一个遭受智能合约漏洞的DeFi协议,该漏洞授权无限取款。 Bancor Network,链上流动性协议, 确定的 类似的漏洞发生在6月17日,允许黑客从与Bancor的智能合约进行交互的用户那里窃取资金。当Bancor团队确认该漏洞时,它 决定了 在恶意行为者耗尽用户资金之前用白帽攻击合同.

漏洞和ERC-20令牌限制

授权无限取款的智能合约漏洞源于ERC-20的限制。基于ERC-20标准的智能合约(例如Bancor和UniCats)无法检测用户是否已将资金转移到合约中。合同需要预先批准才能代表用户转移或提取资金。通常将批准设置为无限取款,从而减少了汽油费和取款批准时间.

替代令牌标准试图解决这一漏洞。例如,ERC-223标准消除了批准提款的需要。但是,采用ERC-223标准是 有限的 由于过量的气体使用以及将数据从ERC-20迁移到ERC-223标准时产生的摩擦.

在对OKEx Insights的评论中,Manuskin认为,对于单产农民而言,仅投资建立良好且经过审核的DeFi协议是最安全的。他解释说:

"与农场互动取决于您愿意承担多少风险。始终只有使用已建立并经过审计的合同才是安全的途径。这不是没有安全问题的保证,但是总比没有好。一些用户可能希望“退化”到可能没有时间进行正式审核的新项目中。自然,这是冒险的。 [但是]如果项目具有实际价值,社区成员自己可以阅读合同并进行非正式审核."

此外,Manuskin认为用户应注意可能会升级的合同,因为它们存在特别危险的情况。他指出:

"需要注意的是可以升级的合同。这是一种常见的设计模式,但是如果只有一个所有者可以执行升级,则表示您相信他们不会滥用其权力。他们可能会将合同升级为恶意合同,即使起初是完全安全的."

成为一个合理的单产农民

的情况下 "俊道" UniCats仅仅是当前收益农业的快照,用户愿意输入陌生或未经审核的DeFi协议以最大程度地提高收益。在最近的Eminence Finance安全事件中也可以看出这一点。未完成的DeFi协议,由yield.finance创始人Andre Cronje,Eminence撰写 受苦 来自1500万美元的黑客攻击-但是,一半的资金已归还。 Cronje声称Eminence协议处于测试阶段,但一些农户仍在生产 倒了 在不了解协议运作方式的情况下将其资金投入协议.   

随着围绕单产的大肆宣传逐渐消失,UniCats和Eminence的最新案例可能为单产农民停顿并花时间进行合理投资提供了充分的理由。克朗耶(Cronje) 给了 他恳求时也提出类似的建议让农民屈服, "如果您不懂,请不要使用."

OKEx Insights提供了市场分析,深入的功能,独到的研究 & 来自加密专家的精选新闻.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map