Um novo episódio envolvendo as finanças descentralizadas (DeFi) mostra como esse mercado muito lucrativo pode render também perdas significativas em criptomoedas. Uma nova história de fraude chamou atenção na tarde desta segunda-feira (5).
O caso envolve um investidor anônimo que teria alocado milhares de dólares em uma fazenda de liquidez. Esse tipo de negócio envolve o aporte de uma determina quantidade de criptomoedas para alimentar um fundo destinado a serviços financeiros, como empréstimos.
SponsoredA plataforma UniCats, onde os ativos foram alocados, funcionaria como a Yearn Finance, por exemplo. O desenvolvedor Alex Manuskin descreveu o caso, que teria ocorrido há 12 dias, conforme registrado na blockchain.
Jhon [nome fictício] vê um novo esquema de farming sofisticado chamado UniCats e decide colocar algum dinheiro nele. Quem sabe, pode ser o próximo YFI.
Jhon decide depositar UNI, e obtém a boa e velha mensagem “Permitir que este Dapp gaste sua UNI” do Metamask, e pensa. “Oh, isso de novo. Sim, todos os Dapps de farming fazem isso, por que não liberar”.
Jhon decides to deposit some $UNI, and gets the good old “Allow this Dapp to spend your UNI” message from Metamask, and thinks. “Oh, this again. Yeah, all the farming Dapps do that, why not 🤷♂️”
And approves the transaction pic.twitter.com/qhghToDC0s
— amanusk (@amanusk_) October 5, 2020
Em troca do depósito de criptomoedas por determinado período, o usuário ganharia um rendimento mais uma criptomoeda nativa. No caso, seria o token DeFi MEOW. A ideia seria, portanto, obter lucro sobre o rendimento e também sobre uma eventual valorização do token. No entanto, não foi isso o que aconteceu na sequência.
Jhon obtém alguns tokens MEOW e pensa, é, acho que já está bom desse jogo. Vou retirar todo o meu UNI e me aposentar agora.
O que Jhon não sabe é que, uma vez que aprovado o contrato para usar tokens infinitamente, o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema de farming.
SponsoredWhat Jhon doesn’t know, is that once you approved the contract to use ∞ tokens, the contract can take their tokens at any time. Even after they were withdrawn from the farming scheme.
— amanusk (@amanusk_) October 5, 2020
Armadilha para criptomoedas no contrato DeFi
O investimento seria como outro qualquer no mundo DeFi. No entanto, a plataforma UniCats é, na verdade, um golpe para roubar criptomoedas de investidores. Manuskin alerta para uma armadilha contida no contrato inteligente.
Segundo o desenvolvedor, o contrato tem um gatilho que permite ao criador sugar o saldo das carteiras dos usuários a qualquer momento. O único requisito seria o aceite do investidor no aplicativo – justamente o que “Jhon” teria liberado logo no começo.
Como resultado, mesmo depois de tirar seu investimento, o dono do UniCats conseguiu drenar os fundos da vítima em questão de minutos. Durante a noite, ele perdeu todos os seus 36.000 UNI. Na época, eles valeriam cerca de US$ 144.000, ou R$ 784.000 somados.
UniCat é um desgraçado astuto. Para cobrir seus rastros, para cada nova vítima, ele cria um novo contrato inteligente e passa a propriedade da plataforma para o novo contrato.
Cada novo contrato pesca alguns fundos, troca-os no Uniswap e os repassa para um endereço de propriedade do UniCat. Os ETH roubados são movidos para a @TornadoCash, em lotes de 100 ETH antes de passar para a próxima vítima.
Each new contract fishes out some funds, swaps them on Uniswap, and passes them to and address owned by UniCat. Stolen ETH are then moved into @TornadoCash , in bulks of 100ETH before moving on to the next victimhttps://t.co/N8A4ULC2tp
— amanusk (@amanusk_) October 5, 2020
Golpes como esse podem ser previstos com um olhar atento ao contrato. Mas, para quem já aderiu a algo parecido, ainda é possível se precaver. A dica é revogar o consentimento ao contrato o quanto antes. A ferramenta Token Allowance Checker, por exemplo, pode ajudar na tarefa.
