UniCats massacra gli agricoltori mentre l’entusiasmo del mercato DeFi si spegne
Il DeFi Digest di OKEx Insights è un esame settimanale del settore della finanza decentralizzata.
Contents
Istantanea del mercato DeFi
Il mercato della finanza decentralizzata è sceso questa settimana poiché il valore totale bloccato nei prodotti DeFi è sceso da $ 11,1 miliardi a $ 10,1 miliardi.
Uniswap ha mantenuto la sua posizione di leader di mercato con una quota di mercato del 22% del valore totale in USD bloccato. La borsa decentralizzata aveva anche il più grande pool di liquidità e ha esteso la sua posizione dominante sul volume degli scambi dal 54% al 62%.
Nella sfera del prestito decentralizzato, Compound ha continuato a dominare con una quota di mercato del 49%. Al secondo posto Aave con una quota di mercato del 37%.
Alcune metriche chiave nel mondo DeFi hanno registrato una diminuzione questa settimana. Fonti: DeFi Pulse e DeBank
Gettoni DeFi nuotano in un mare di rosso
È stata una settimana relativamente statica in termini di importanti sviluppi DeFi. L’interesse all’acquisto per i token DeFi è diminuito e questo ha portato a svendite per la maggior parte dei progetti. Di conseguenza, il mercato DeFi più ampio è stato inondato da un mare di rosso poiché alcuni token hanno registrato drastiche riduzioni di prezzo.
La maggior parte dei token DeFi ha subito perdite questa settimana, con alcuni peggiori di altri. Fonte: Coin360
DFI.money è il primo perdente con una perdita di valore del 52%. I principali market maker automatizzati sono stati anche tra i più colpiti nel sell-off di questa settimana: Curve (CRV), SushiSwap (SUSHI) e Uniswap (UNI) hanno subito perdite settimanali di circa il 45%, 44% e 26%, rispettivamente.
UniCats ha sbranato gli agricoltori
UniCats, un protocollo DeFi per l’agricoltura di rendimento simile a SushiSwap o YAM Finance, ha attirato l’attenzione della comunità DeFi questa settimana poiché gli utenti hanno perso i loro saldi token come risultato diretto dei contratti intelligenti dannosi.
Come svelato dal ricercatore di ZenGo Alex Manuskin, un utente anonimo, soprannominato "Jhon Doe," perso Token di governance UNI del valore di $ 140.000 quando hanno partecipato a UniCats yield farming. I dati di Etherscan mostrano che l’utente esaminato ha quasi perso 26.757 UNI e 10.703 UNI in due transazioni il 4 ottobre.
Utente Twitter anonimo "Jhon Doe" ha perso più di 37.000 UNI in due transazioni. Fonte: Etherscan
Una scappatoia comune e pericolosa nella DeFi
L’incidente di UniCats ha ancora una volta messo in luce una pratica comune e pericolosa in ambito DeFi, ovvero che gli operatori del protocollo possono richiedere l’autorizzazione a ritirare una quantità illimitata di token dai portafogli dei clienti. Questa pratica può essere eseguita da UniCats "setGovernance" funzione, che consente alla piattaforma di avere il pieno controllo sulle risorse degli utenti, anche dopo che gli utenti hanno ritirato le proprie risorse da UniCats.
In caso di "Jhon Doe," l’utente ha prima depositato UNI in UniCats per partecipare all’agricoltura di rendimento. Simile al messaggio di approvazione di altri protocolli DeFi per l’agricoltura di rendimento, hanno approvato il messaggio in MetaMask per eseguire il deposito di UNI. Tuttavia, l’utente non era a conoscenza del fatto che il messaggio di approvazione consente a UniCats di ritirare i propri token in qualsiasi momento.
Il messaggio di approvazione in MetaMask consente alle DApp di spendere i token degli utenti. Fonte: Alex Manuskin su Twitter
Secondo Manuskin, UniCats sfrutta i fondi degli utenti creando prima un nuovo contratto intelligente e trasferendo la proprietà della fattoria al nuovo contratto. Quando un utente deposita fondi sullo smart contract, UniCats può ritirare l’UNI e scambiarli con Ether in Uniswap. Dopo aver scambiato i fondi in Uniswap, l’ETH verrà quindi trasferito all’indirizzo di UniCats. Per coprire le tracce dei fondi rubati, il team di UniCats ha spostato e mescolato transazioni di massa di 100 ETH con altri fondi tramite Tornado.cash.
UniCats non è il primo protocollo DeFi a soffrire di una scappatoia di contratti intelligenti che autorizza prelievi infiniti. Bancor Network, un protocollo di liquidità on-chain, identificato una scappatoia simile il 17 giugno che consente agli hacker di rubare fondi agli utenti che hanno interagito con lo smart contract di Bancor. Quando il team di Bancor ha riconosciuto la vulnerabilità, esso deciso attaccare il contratto con il cappello bianco prima che i malintenzionati possano prosciugare i fondi degli utenti.
Lacune e limitazioni dei token ERC-20
Le scappatoie contrattuali intelligenti che autorizzano prelievi infiniti derivano dalle limitazioni ERC-20. I contratti intelligenti basati sullo standard ERC-20, come Bancor e UniCats, non sono in grado di rilevare se un utente ha trasferito i fondi al contratto. Il contratto richiede un’approvazione preimpostata per trasferire o prelevare fondi per conto dell’utente. L’approvazione è stata tipicamente impostata come un prelievo infinito, che ha mitigato le tariffe del gas e i tempi di approvazione del prelievo.
Standard di token alternativi hanno tentato di risolvere questa lacuna. Ad esempio, lo standard ERC-223 elimina la necessità di approvare i prelievi. Tuttavia, l’adozione dello standard ERC-223 lo è limitato a causa dell’eccessivo utilizzo di gas e dell’attrito creato durante la migrazione dei dati dallo standard ERC-20 allo standard ERC-223.
In un commento a OKEx Insights, Manuskin ritiene che sia più sicuro per gli agricoltori di rendimento investire solo in protocolli DeFi consolidati e verificati. Lui ha spiegato:
"Interagire con le aziende agricole dipende da quanto rischio sei disposto ad assumerti. C’è sempre la via sicura di utilizzare solo contratti consolidati e verificati. Questa non è una garanzia di assenza di problemi di sicurezza, ma è molto meglio di niente. Alcuni utenti potrebbero voler “degenerare” in nuovi progetti che potrebbero non avere il tempo di sottoporsi a un audit ufficiale. Naturalmente, questo è più rischioso. [Ma] se il progetto ha un valore reale, gli stessi membri della comunità possono leggere il contratto ed eseguire un audit informale."
Inoltre, Manuskin ritiene che gli utenti dovrebbero prestare attenzione ai contratti che possono essere aggiornati, poiché presentano una situazione particolarmente pericolosa. Ha notato:
"Qualcosa a cui prestare attenzione sono i contratti che possono essere aggiornati. Questo è un modello di progettazione comune, ma se c’è un solo proprietario in grado di eseguire l’aggiornamento, ti stai affidando a loro per non abusare del loro potere. Potrebbero aggiornare il contratto a uno dannoso, anche se all’inizio è completamente sicuro."
Sii un agricoltore razionale
Il caso di "Jhon Doe" e UniCats è semplicemente un’istantanea dello stato attuale del yield farming, in cui gli utenti sono disposti a entrare in protocolli DeFi sconosciuti o non certificati per massimizzare i loro rendimenti. Questo può essere visto anche nel recente incidente di sicurezza di Eminence Finance. Un protocollo DeFi incompiuto del fondatore di yield.finance Andre Cronje, Eminence subìto da un hack di 15 milioni di dollari, ma metà dei fondi è stata restituita. Mentre Cronje affermava che il protocollo Eminence era in fase di sperimentazione, alcuni coltivavano ancora versato i loro fondi nel protocollo, senza capire come funziona.
Con l’entusiasmo che circonda la produzione agricola che inizia a diminuire, i recenti casi di UniCats ed Eminence potrebbero fornire una buona ragione per fare in modo che gli agricoltori si fermino e si prendano il tempo per investire razionalmente. Anche Cronje ha dato consiglio simile per cedere i contadini quando implorò, "Se non lo capisci, per favore non usarlo."
OKEx Insights presenta analisi di mercato, funzionalità approfondite, ricerche originali & notizie curate da professionisti delle criptovalute.
