تقوم شركة UniCats بإغراق المزارعين مع تلاشي الضجيج في سوق DeFi

DeFi Digest من OKEx Insights هو فحص أسبوعي لصناعة التمويل اللامركزية.

لقطة سوق DeFi

انخفض سوق التمويل اللامركزي هذا الأسبوع حيث انخفض إجمالي القيمة المحجوزة لمنتجات DeFi من 11.1 مليار دولار إلى 10.1 مليار دولار.

حافظت Uniswap على مكانتها كشركة رائدة في السوق بحصة سوقية تبلغ 22٪ من إجمالي قيمة الدولار الأمريكي. كما كان للبورصة اللامركزية أكبر تجمع للسيولة ووسعت هيمنتها على حجم التداول من 54٪ إلى 62٪.

في مجال الإقراض اللامركزي ، واصل Compound الهيمنة بحصة سوقية تبلغ 49٪. احتلت Aave المرتبة الثانية بحصة سوقية بلغت 37٪.

شهدت بعض المقاييس الرئيسية في عالم DeFi انخفاضًا هذا الأسبوع. مصادر: نبض DeFi و DeBank

توكنات DeFi تسبح في بحر من اللون الأحمر

لقد كان أسبوعًا ثابتًا نسبيًا من حيث تطورات DeFi الرئيسية. تضاءل الاهتمام بشراء رموز DeFi مما أدى إلى عمليات بيع في معظم المشاريع. نتيجة لذلك ، كان سوق DeFi الأوسع مغمورًا في بحر من اللون الأحمر حيث شهدت بعض الرموز انخفاضًا كبيرًا في الأسعار.

تكبدت معظم رموز DeFi خسائر هذا الأسبوع ، وبعضها أسوأ من البعض الآخر. مصدر: عملة 360

DFI.money هو الخاسر الأكبر مع خسارة 52٪ في القيمة. كان صانعو السوق الآليون الرائدون أيضًا من بين الأكثر تضررًا في عمليات البيع هذا الأسبوع – حيث تعرض كل من Curve (CRV) و SushiSwap (SUSHI) و Uniswap (UNI) لخسائر أسبوعية بلغت حوالي 45٪ و 44٪ و 26٪ على التوالي..

جرفت UniCats المزارعين الغلة

جذب UniCats ، وهو بروتوكول DeFi لزراعة الغلة مشابه لـ SushiSwap أو تمويل YAM ، انتباه مجتمع DeFi هذا الأسبوع حيث فقد المستخدمون أرصدة التوكن الخاصة بهم كنتيجة مباشرة للعقود الذكية الخبيثة.

كما كشف الباحث في ZenGo Alex Manuskin ، وهو مستخدم مجهول ، مُدبلج "جون دو," ضائع رموز حكم UNI بقيمة 140،000 دولار عندما شاركوا في زراعة المحاصيل UniCats. تظهر البيانات من Etherscan أن المستخدم الذي يتم فحصه فقد تقريبًا 26757 UNI و 10،703 UNI في صفقتين يوم 4 أكتوبر.

مستخدم Twitter مجهول "جون دو" فقدت أكثر من 37000 UNI في معاملتين. المصدر: Etherscan


ثغرة شائعة وخطيرة في DeFi

كشفت حادثة UniCats مرة أخرى عن ممارسة شائعة وخطيرة في مجال DeFi – أي أن مشغلي البروتوكول يمكنهم طلب الإذن لسحب عدد غير محدود من الرموز من محافظ العملاء. يمكن القيام بهذه الممارسة بواسطة UniCats ‘ "مجموعة الحوكمة" وظيفة ، والتي تتيح للنظام الأساسي التحكم الكامل في أصول المستخدمين – حتى بعد سحب المستخدمين أصولهم من UniCats.

في حالة "جون دو," قام المستخدم أولاً بإيداع UNI في UniCats للمشاركة في زراعة المحاصيل. على غرار رسالة الموافقة لبروتوكولات DeFi الأخرى لزراعة الغلة ، وافقوا على الرسالة في MetaMask لتنفيذ إيداع UNI. ومع ذلك ، لم يكن المستخدم على علم بأن رسالة الموافقة تسمح لـ UniCats بسحب الرموز المميزة الخاصة بهم في أي وقت.

تسمح رسالة الموافقة في MetaMask لـ DApps بإنفاق الرموز المميزة للمستخدمين. مصدر: أليكس مانوسكين على تويتر

وفقًا لـ Manuskin ، تستغل UniCats أموال المستخدمين من خلال إنشاء عقد ذكي جديد أولاً ونقل ملكية المزرعة إلى العقد الجديد. عندما يقوم المستخدم بإيداع الأموال في العقد الذكي ، يمكن لـ UniCats سحب UNI ومبادلتها بـ Ether في Uniswap. بعد مبادلة الأموال في Uniswap ، سيتم بعد ذلك تحويل ETH إلى عنوان UniCats. لتغطية مسارات الأموال المسروقة ، تحرك فريق UniCats وقام باختلاط المعاملات الجماعية لـ 100 ETH مع صناديق أخرى عبر Tornado.cash.

UniCats ليس أول بروتوكول DeFi يعاني من ثغرة عقد ذكية تسمح بعمليات سحب لا نهائية. شبكة Bancor ، بروتوكول سيولة على السلسلة, المحددة ثغرة مماثلة في 17 يونيو تسمح للمتسللين بسرقة الأموال من المستخدمين الذين تفاعلوا مع عقد Bancor الذكي. عندما اعترف فريق Bancor بالثغرة ، كان الأمر كذلك مقرر لمهاجمة أصحاب القبعة البيضاء العقد قبل أن تتمكن الجهات الخبيثة من استنزاف أموال المستخدمين.

الثغرات وقيود الرمز المميز ERC-20

ثغرات العقد الذكية التي تسمح بعمليات سحب غير محدودة تنبع من قيود ERC-20. لا يمكن للعقود الذكية التي تستند إلى معيار ERC-20 ، مثل Bancor و UniCats ، اكتشاف ما إذا كان المستخدم قد قام بتحويل الأموال إلى العقد. يتطلب العقد موافقة مسبقة لتحويل الأموال أو سحبها نيابة عن المستخدم. تم تعيين الموافقة عادةً على أنها سحب غير محدود ، مما خفف من رسوم الغاز وأوقات الموافقة على السحب.

حاولت معايير الرمز البديل حل هذه الثغرة. على سبيل المثال ، يزيل معيار ERC-223 الحاجة إلى الموافقة على عمليات السحب. ومع ذلك ، فإن اعتماد معيار ERC-223 هو محدود بسبب الاستخدام المفرط للغاز والاحتكاك الناتج عند ترحيل البيانات من ERC-20 إلى معيار ERC-223.

في تعليق لـ OKEx Insights ، يعتقد Manuskin أنه من الأكثر أمانًا لمزارعي المحاصيل الاستثمار فقط في بروتوكولات DeFi الراسخة والمدققة. هو شرح:

"يعتمد التعامل مع المزارع على مقدار المخاطرة التي ترغب في تحملها. هناك دائمًا طريق آمن لاستخدام العقود الراسخة والمدققة فقط. هذا ليس ضمانًا لعدم وجود مشكلات أمنية ، ولكنه أفضل بكثير من لا شيء. قد يرغب بعض المستخدمين في “الانحدار” إلى مشاريع جديدة قد لا يكون لديها الوقت للخضوع للتدقيق الرسمي. بطبيعة الحال ، هذا أكثر خطورة. [لكن] إذا كان للمشروع قيمة حقيقية ، فيمكن لأفراد المجتمع أنفسهم قراءة العقد وإجراء تدقيق غير رسمي."

علاوة على ذلك ، يعتقد Manuskin أنه يجب على المستخدمين الانتباه إلى العقود التي يمكن ترقيتها ، لأنها تمثل موقفًا خطيرًا بشكل خاص. هو دون:

"شيء يجب البحث عنه هو العقود التي يمكن ترقيتها. هذا نمط تصميم شائع ، ولكن إذا كان هناك مالك واحد يمكنه إجراء الترقية ، فأنت تثق في عدم إساءة استخدام سلطته. قد يقومون بترقية العقد إلى عقد ضار ، حتى لو كان آمنًا تمامًا في البداية."

كن مزارع عقلاني

حالة "جون دو" و UniCats هي مجرد لقطة سريعة للحالة الحالية لزراعة المحاصيل ، حيث يكون المستخدمون على استعداد للدخول في بروتوكولات DeFi غير مألوفة أو غير مدققة لتعظيم عوائدهم. يمكن ملاحظة ذلك أيضًا في الحادث الأمني ​​الأخير لشركة Eminence Finance. بروتوكول DeFi غير مكتمل من قبل مؤسس التمويل العائد أندريه كروني ، Eminence عانى من اختراق بقيمة 15 مليون دولار – على الرغم من إعادة نصف الأموال. بينما ادعى Cronje أن بروتوكول Eminence كان في مرحلة الاختبار ، إلا أن بعض مزارعي المحاصيل لا يزالون صب أموالهم في البروتوكول ، دون فهم كيفية عمله.   

مع بدء الضجيج المحيط بزراعة المحاصيل في التلاشي ، قد توفر الحالات الأخيرة من UniCats و Eminence سببًا وجيهًا لمزارعى المحاصيل للتوقف واستغلال الوقت للاستثمار بشكل عقلاني. كروني أيضا أعطى نصيحة مماثلة للمزارعين عندما توسل, "إذا كنت لا تفهمها ، فالرجاء عدم استخدامها."

تقدم OKEx Insights تحليلات السوق والميزات المتعمقة والأبحاث الأصلية & الأخبار المنسقة من محترفي التشفير.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map