خسر العديد من مزارعي المحاصيل أكثر مما كانوا يساومون عليه عندما وثقوا في جهاز DeFi dev هذا

استحوذ مزارعو العائدات الذين يبحثون عن ربح سريع مؤخرًا على بروتوكول DeFi مشكوك فيه يسمى UniCats – وهو مخطط زراعة غلة يذكرنا بالبروتوكولات الأخرى الأكثر شهرة مثل SushiSwap أو Yam Finance.

وفقًا للباحث ZenGo Alex Manuskin ، فإن أحد مستخدميها على الأقل ضائع أكثر من 140،000 دولار من رموز UNI الخاصة بـ Uniswap حتى بعد إزالة أموالهم من البروتوكول. قال مانوسكين لكوينتيليغراف إن المستخدمين الآخرين خسروا حوالي 50000 دولار أخرى.

وقع المستخدمون ضحية لممارسة خطيرة شائعة في DeFi ، حيث تطلب معظم البروتوكولات الإذن بسحب كميات غير محدودة من رمز معين من محفظة العميل. كما ذكر Cointelegraph سابقًا ، غالبًا ما تتميز التطبيقات اللامركزية مثل Compound و Uniswap و Kyber وغيرها ببدلات لا نهائية. هذا يسمح للعقود الذكية بالتعامل مع أكبر قدر ممكن من رمز معين نيابة عن كل مالك محفظة.

ستتيح بعض المحافظ للمستخدمين ضبط المبلغ المعتمد يدويًا ، على الرغم من أنه يتم تعيينه بشكل عام على أقصى قيمة ممكنة بشكل افتراضي.

كان هذا هو الحال مع UniCats ، أوضح مانوسكين: “لم يكن الأمر برمته مجرد عملية احتيال وسحب بساط ، بل إنه يريد أيضًا السعي وراء جميع الرموز المميزة المعتمدة من المستخدمين.”

احتوى عقد UniCats على وظيفة “setGovernance” الخفية التي تتيح لمالكها استدعاء أي وظيفة باسم العقد. نظرًا لأن المستخدمين منحوا موافقات لا نهائية على هذا العقد ، فقد تمكن المطور من استنزاف كامل أرصدة مستخدمي UNI.

تم بيع الرموز على الفور مقابل Ether (ETH) ، والتي تم إرسالها بعد ذلك إلى Tornado Cash ليتم خلطها ، مما دفع الكثيرين إلى التساؤل عما إذا كانت هذه الإجراءات متعمدة.

يسلط الحادث الضوء على أهمية تفويض الأموال فقط للمشاريع التي تم فحصها وذات السمعة الطيبة. في أعقاب هوس الزراعة الغلة ، تم نسج العديد من مزارع المحاصيل الأقل شهرة للاستفادة من هذا الاتجاه. لسوء الحظ ، كانت غالبًا عبارة عن عمليات انتزاع نقدية صريحة وتتميز بأنواع مختلفة من الأبواب الخلفية. تم “سحب البساط” من العديد من مزارعي المحاصيل واستنزفت أموالهم في حوادث مماثلة.

الفرق مع UniCats هو أن “البناة” عادة ما يقتصرون على الرموز المميزة الملتزمة بالبروتوكول. تسمح آلية البدل اللانهائي للعقد بسحب كل رمز مميز في محفظة المستخدم ، إلى الأبد. تصبح المحفظة مخترقة تمامًا حتى يتم رفع الموافقة ، مما يعني أنه يمكن سرقة أي رمز جديد يتم إرساله إلى العنوان بنفس الطريقة.

أصبحت آلية الموافقة ضرورية من خلال تقييد معيار ERC-20 المستخدم في الرموز المميزة لـ Ethereum. لا تستطيع DApps والعقود الذكية اكتشاف ما إذا كان المستخدم قد قام بتحويل الأموال إلى العقد. وبالتالي ، يقوم العقد بتحويل الأموال نيابة عن المستخدم ، الأمر الذي يتطلب موافقة مسبقة. تعمل المعايير الأحدث مثل ERC-777 على إصلاح هذا الخلل ، على الرغم من أن هذا النوع من الرموز لا يزال به نقاط ضعف ويمكن أن يظل ضحية للسرقة.

الأساس المنطقي لوضع الموافقات اللانهائية هو أن المستخدمين يوفرون رسوم الغاز والوقت من خلال عدم الاضطرار إلى الموافقة على كل معاملة على حدة. ومع ذلك ، كما أظهرت ثغرة Bancor في يونيو ، فإن أي حل وسط للعقد يعرض مستخدميها للسرقة ، حتى لو لم يتفاعلوا مع البروتوكول منذ فترة.