Como investidor perdeu R$ 784.000 em fraude de criptomoedas mesmo após sacar o lucro

O caso envolve um investidor anônimo que teria alocado milhares de dólares em uma fazenda de liquidez. Esse tipo de negócio envolve o aporte de uma determina quantidade de criptomoedas para alimentar um fundo destinado a serviços financeiros, como empréstimos. A plataforma UniCats, onde os ativos foram alocados, funcionaria como a Yearn Finance, por exemplo. O desenvolvedor Alex Manuskin descreveu o caso, que teria ocorrido há 12 dias, conforme registrado na blockchain.

Jhon [nome fictício] vê um novo esquema de farming sofisticado chamado UniCats e decide colocar algum dinheiro nele. Quem sabe, pode ser o próximo YFI. Jhon decide depositar UNI, e obtém a boa e velha mensagem “Permitir que este Dapp gaste sua UNI” do Metamask, e pensa. “Oh, isso de novo. Sim, todos os Dapps de farming fazem isso, por que não liberar”.

Jhon decides to deposit some $UNI, and gets the good old “Allow this Dapp to spend your UNI” message from Metamask, and thinks. “Oh, this again. Yeah, all the farming Dapps do that, why not 🤷‍♂️”

And approves the transaction pic.twitter.com/qhghToDC0s

— amanusk (@amanusk_) October 5, 2020

Em troca do depósito de criptomoedas por determinado período, o usuário ganharia um rendimento mais uma criptomoeda nativa. No caso, seria o token DeFi MEOW. A ideia seria, portanto, obter lucro sobre o rendimento e também sobre uma eventual valorização do token. No entanto, não foi isso o que aconteceu na sequência.

Jhon obtém alguns tokens MEOW e pensa, é, acho que já está bom desse jogo. Vou retirar todo o meu UNI e me aposentar agora.

O que Jhon não sabe é que, uma vez que aprovado o contrato para usar tokens infinitamente, o contrato pode pegar seus tokens a qualquer momento. Mesmo depois de serem retirados do esquema de farming.

What Jhon doesn’t know, is that once you approved the contract to use ∞ tokens, the contract can take their tokens at any time. Even after they were withdrawn from the farming scheme.

— amanusk (@amanusk_) October 5, 2020

 

Armadilha para criptomoedas no contrato DeFi

O investimento seria como outro qualquer no mundo DeFi. No entanto, a plataforma UniCats é, na verdade, um golpe para roubar criptomoedas de investidores. Manuskin alerta para uma armadilha contida no contrato inteligente. Segundo o desenvolvedor, o contrato tem um gatilho que permite ao criador sugar o saldo das carteiras dos usuários a qualquer momento. O único requisito seria o aceite do investidor no aplicativo – justamente o que “Jhon” teria liberado logo no começo. Como resultado, mesmo depois de tirar seu investimento, o dono do UniCats conseguiu drenar os fundos da vítima em questão de minutos. Durante a noite, ele perdeu todos os seus 36.000 UNI. Na época, eles valeriam cerca de US$ 144.000, ou R$ 784.000 somados.

UniCat é um desgraçado astuto. Para cobrir seus rastros, para cada nova vítima, ele cria um novo contrato inteligente e passa a propriedade da plataforma para o novo contrato. Cada novo contrato pesca alguns fundos, troca-os no Uniswap e os repassa para um endereço de propriedade do UniCat. Os ETH roubados são movidos para a @TornadoCash, em lotes de 100 ETH antes de passar para a próxima vítima.

Each new contract fishes out some funds, swaps them on Uniswap, and passes them to and address owned by UniCat. Stolen ETH are then moved into @TornadoCash , in bulks of 100ETH before moving on to the next victimhttps://t.co/N8A4ULC2tp

— amanusk (@amanusk_) October 5, 2020

Golpes como esse podem ser previstos com um olhar atento ao contrato. Mas, para quem já aderiu a algo parecido, ainda é possível se precaver. A dica é revogar o consentimento ao contrato o quanto antes. A ferramenta Token Allowance Checker, por exemplo, pode ajudar na tarefa.