Los yield farmers que buscaban una ganancia rápida fueron recientemente engañados por un dudoso protocolo DeFi llamado UniCats, un esquema de yield farmers que recuerda a otros protocolos más famosos como SushiSwap o Yam Finance.
Según el investigador de ZenGo Alex Manuskin, al menos uno de sus usuarios perdió más de USD 140,000 en tokens UNI de Uniswap incluso después de eliminar sus fondos del protocolo. Otros usuarios perdieron alrededor de USD 50,000 más, dijo Manuskin a Cointelegraph.
Los usuarios fueron víctimas de una práctica peligrosa que se ve comúnmente en DeFi, donde la mayoría de los protocolos solicitarán la autorización para retirar cantidades ilimitadas de un token en particular de la billetera del cliente. Como Cointelegraph informó anteriormente, las aplicaciones descentralizadas como Compound, Uniswap, Kyber y otras a menudo cuentan con asignaciones infinitas. Esto permite que los contratos inteligentes realicen transacciones de un determinado token en nombre de cada propietario de la billetera.
Un bug en Bancor puso en peligro el sistema DeFi de Ethereum
Algunas billeteras permitirán a los usuarios ajustar manualmente una cantidad aprobada, aunque generalmente se establece en el valor máximo posible de forma predeterminada.Tal fue el caso de UniCats, explicó Manuskin: "No solo fue un tirón de alfombra y una estafa, sino que también quiere perseguir todos los tokens aprobados de los usuarios".
El contrato de UniCats contenía una función furtiva de "setGovernance" que permite a su propietario llamar a cualquier función en el nombre del contrato. Dado que los usuarios otorgaron aprobaciones infinitas a este contrato, el desarrollador pudo agotar la totalidad de los saldos UNI de sus usuarios.
Los tokens se vendieron de inmediato por Ether (ETH), que luego se envían a Tornado Cash para que se mezclaran, lo que llevó a muchos a cuestionar si estas acciones fueron premeditadas.