UniCats mauls дават фермери, тъй като шумът на пазара на DeFi намалява
DeFi Digest на OKEx Insights е седмичен преглед на децентрализираната финансова индустрия.
Contents
Снимка на пазара на DeFi
Децентрализираният финансов пазар спадна тази седмица, тъй като общата стойност, заключена в продуктите на DeFi, спадна от 11,1 млрд. Долара на 10,1 млрд. Долара.
Uniswap запази позицията си на пазарен лидер с 22% пазарен дял от общата заключена стойност в щатски долари. Децентрализираната борса също имаше най-големия пул на ликвидност и разшири доминацията си в обема на търговията от 54% на 62%.
В сферата на децентрализираното кредитиране Compound продължи да доминира с пазарен дял от 49%. Aave беше на второ място с 37% пазарен дял.
Някои ключови показатели в света на DeFi намаляха с тази седмица. Източници: DeFi Pulse и DeBank
DeFi жетони плуващи в море от червено
Това беше относително статична седмица по отношение на основните разработки на DeFi. Покупката на лихви към токените DeFi отслабна и това доведе до разпродажби за повечето проекти. В резултат на това по-широкият пазар на DeFi беше затънал в море от червено, тъй като някои токени видяха драматично намаление на цените.
Повечето токени на DeFi претърпяха загуби тази седмица, като някои по-зле от други. Източник: Монета360
DFI.money е най-големият губещ с 52% загуба в стойността. Водещите автоматизирани маркетмейкъри също бяха сред най-силно засегнатите при разпродажбата тази седмица – Curve (CRV), SushiSwap (SUSHI) и Uniswap (UNI) понесоха седмични загуби от съответно приблизително 45%, 44% и 26%.
UniCats преследва добивите
UniCats, протокол за доходност DeFi, подобен на SushiSwap или YAM finance, привлече вниманието на DeFi общността тази седмица, тъй като потребителите загубиха своите токени баланси като пряк резултат от злонамерените интелигентни договори.
Както беше разкрито от изследователя на ZenGo Алекс Манускин, анонимен потребител, наречен "Джон Доу," изгубени Токените за управление на UNI на стойност 140 000 долара, когато са участвали в UniCats, отглеждат земеделие. Данните от Etherscan показват, че изследваният потребител е загубил почти 26 757 UNI и 10 703 UNI в две транзакции на 4 октомври.
Анонимен потребител на Twitter "Джон Доу" загуби над 37 000 UNI при две транзакции. Източник: Etherscan
Често срещана и опасна вратичка в DeFi
Инцидентът с UniCats за пореден път разкри една често срещана и опасна практика в сферата на DeFi – а именно, че операторите на протоколи могат да поискат разрешение да изтеглят неограничено количество токени от портфейлите на клиентите. Тази практика може да бъде направена от UniCats ‘ "setGovernance" функция, която позволява на платформата да има пълен контрол върху активите на потребителите – дори след като потребителите изтеглят активите си от UniCats.
В случай че "Джон Доу," потребителят първо депозира UNI в UniCats, за да участва в земеделието. Подобно на съобщението за одобрение на други протоколи DeFi за добив, те одобриха съобщението в MetaMask за изпълнение на депозита на UNI. Потребителят обаче не знаеше, че съобщението за одобрение позволява на UniCats да изтегли своите токени по всяко време.
Съобщението за одобрение в MetaMask позволява на DApps да харчат жетоните на потребителите. Източник: Алекс Манускин в Twitter
Според Manuskin UniCats експлоатира средствата на потребителите, като първо създава нов интелигентен договор и прехвърля собствеността върху фермата на новия договор. Когато потребител депозира средства за интелигентен договор, UniCats може да изтегли UNI и да ги замени с Ether в Uniswap. След размяната на средствата в Uniswap, ETH ще бъде прехвърлен на адреса на UniCats. За да покрие следите на откраднатите средства, екипът на UniCats премести и смеси големи транзакции от 100 ETH с други средства чрез Tornado.cash.
UniCats не е първият протокол на DeFi, който страда от вратичка за интелигентен договор, която разрешава безкрайно теглене. Bancor Network, верижен протокол за ликвидност, идентифицирани подобна вратичка на 17 юни, която позволява на хакерите да крадат средства от потребители, които са взаимодействали със смарт договора на Bancor. Когато екипът на Bancor призна уязвимостта, тя реши да атакува договора, преди злонамерени участници да могат да източат средствата на потребителите.
Ограничения на дупки и ERC-20
Пропуските в интелигентните договори, които разрешават безкрайно теглене, произтичат от ограниченията на ERC-20. Интелигентните договори, базирани на стандарта ERC-20, като Bancor и UniCats, не могат да открият дали потребителят е прехвърлил средствата към договора. Договорът изисква предварително одобрение за прехвърляне или теглене на средства от името на потребителя. Одобрението обикновено е определено като безкрайно оттегляне, което смекчава таксите за газ и времето за одобрение на оттегляне.
Алтернативни стандарти за маркери се опитаха да разрешат тази вратичка. Например стандартът ERC-223 премахва необходимостта от одобряване на тегления. Приемането на стандарта ERC-223 обаче е ограничен поради прекомерно използване на газ и триене, създадено при мигриране на данни от ERC-20 към ERC-223 стандарта.
В коментар за OKEx Insights Манускин смята, че е най-безопасно фермерите за добив да инвестират само в добре установени и одитирани протоколи DeFi. Той обясни:
"Взаимодействието с фермите зависи от това колко риск сте готови да поемете. Винаги има безопасен начин за използване само на добре установени и одитирани договори. Това не е гаранция, че няма проблеми със сигурността, но е много по-добре от нищо. Някои потребители може да искат да „дегенерират“ нови проекти, които може да нямат време да преминат официален одит. Естествено, това е по-рисковано. [Но] ако проектът има реална стойност, самите членове на общността могат да прочетат договора и да извършат неформален одит."
Освен това Manuskin вярва, че потребителите трябва да обърнат внимание на договори, които могат да бъдат надградени, тъй като те представляват особено опасна ситуация. Той отбеляза:
"Трябва да се внимава за договорите, които могат да бъдат надградени. Това е често срещан модел на проектиране, но ако има един-единствен собственик, който може да извърши надстройката, вие се доверявате на тях да не злоупотребяват с властта си. Те могат да надстроят договора до злонамерен, дори ако той е напълно безопасен в началото."
Бъдете рационален земеделски производител
Случаят на "Джон Доу" и UniCats е просто моментна снимка на текущото състояние на отглеждане на добив, където потребителите са готови да влязат в непознати или неодитирани протоколи DeFi, за да увеличат максимално възвръщаемостта си. Това може да се види и от скорошния инцидент за сигурността на Eminence Finance. Недовършен протокол DeFi от основателя на yield.finance Андре Кроне, Eminence страда от хак на стойност 15 милиона долара – въпреки това половината от средствата бяха върнати. Докато Cronje твърди, че протоколът Eminence е в етап на тестване, някои фермери все още добиват излива средствата им в протокола, без да разберат как работи.
Тъй като шумотевицата около добивното земеделие започва да отшумява, скорошните случаи на UniCats и Eminence може да предоставят добра причина фермерите да добият пауза и да отделят време да инвестират рационално. Cronje също даде подобен съвет да даде фермерите, когато той молеше, "Ако не го разбирате, моля не го използвайте."
OKEx Insights представя пазарни анализи, задълбочени функции, оригинални изследвания & подбрани новини от крипто професионалисти.