UniCats maul menghasilkan petani saat sensasi pasar DeFi mereda
DeFi Digest dari OKEx Insights adalah pemeriksaan mingguan industri keuangan terdesentralisasi.
Contents
Cuplikan pasar DeFi
Pasar keuangan terdesentralisasi turun minggu ini karena total nilai yang terkunci dalam produk DeFi turun dari $ 11,1 miliar menjadi $ 10,1 miliar..
Uniswap mempertahankan posisinya sebagai pemimpin pasar dengan pangsa pasar 22% dari total nilai USD yang terkunci. Pertukaran terdesentralisasi juga memiliki kumpulan likuiditas terbesar dan memperluas dominasi volume perdagangannya dari 54% menjadi 62%.
Dalam lingkup pinjaman terdesentralisasi, Compound terus mendominasi dengan pangsa pasar 49%. Aave berada di posisi kedua dengan pangsa pasar 37%.
Beberapa metrik utama di dunia DeFi mengalami penurunan minggu ini. Sumber: DeFi Pulse dan DeBank
Token DeFi berenang di lautan merah
Ini telah menjadi minggu yang relatif statis dalam hal perkembangan DeFi utama. Minat beli terhadap token DeFi berkurang dan ini menyebabkan aksi jual untuk sebagian besar proyek. Akibatnya, pasar DeFi yang lebih luas dibanjiri lautan merah karena beberapa token mengalami penurunan harga yang dramatis.
Sebagian besar token DeFi mengalami kerugian minggu ini, dengan beberapa lebih buruk dari yang lain. Sumber: Coin360
DFI. Uang adalah pecundang teratas dengan nilai kerugian 52%. Pembuat pasar otomatis terkemuka juga termasuk yang paling terpukul dalam aksi jual minggu ini – Curve (CRV), SushiSwap (SUSHI) dan Uniswap (UNI) mengalami kerugian mingguan masing-masing sekitar 45%, 44% dan 26%..
UniCats menganiaya petani hasil
UniCats, protokol DeFi pertanian hasil yang mirip dengan SushiSwap atau keuangan YAM, menarik perhatian komunitas DeFi minggu ini karena pengguna kehilangan saldo token mereka sebagai akibat langsung dari kontrak pintar yang berbahaya..
Seperti yang diungkapkan oleh peneliti ZenGo Alex Manuskin, pengguna anonim, dijuluki "Jhon Doe," kalah Token tata kelola UNI senilai $ 140.000 saat mereka berpartisipasi dalam pertanian hasil UniCats. Data dari Etherscan menunjukkan bahwa pengguna yang diperiksa hampir tersesat 26.757 UNI dan 10.703 UNI dalam dua transaksi pada 4 Oktober.
Pengguna Twitter anonim "Jhon Doe" kehilangan lebih dari 37.000 UNI dalam dua transaksi. Sumber: Etherscan
Celah umum dan berbahaya di DeFi
Insiden UniCats sekali lagi mengungkap praktik umum dan berbahaya di bidang DeFi – yaitu, bahwa operator protokol dapat meminta otorisasi untuk menarik token dalam jumlah yang tidak terbatas dari dompet pelanggan. Praktik ini dapat dilakukan oleh UniCats ‘ "setGovernance" fungsi, yang memungkinkan platform memiliki kendali penuh atas aset pengguna – bahkan setelah pengguna menarik aset mereka dari UniCats.
Dalam kasus "Jhon Doe," pengguna pertama kali menyimpan UNI ke UniCats untuk berpartisipasi dalam pertanian hasil. Mirip dengan pesan persetujuan dari protokol DeFi pertanian hasil lainnya, mereka menyetujui pesan di MetaMask untuk mengeksekusi setoran UNI. Namun, pengguna tidak menyadari bahwa pesan persetujuan memungkinkan UniCats untuk menarik token mereka kapan saja.
Pesan persetujuan di MetaMask memungkinkan DApps menggunakan token pengguna. Sumber: Alex Manuskin di Twitter
Menurut Manuskin, UniCats mengeksploitasi dana pengguna dengan terlebih dahulu membuat kontrak pintar baru dan menyerahkan kepemilikan lahan ke kontrak baru. Ketika seorang pengguna mendepositkan dana ke kontrak pintar, UniCats dapat menarik UNI dan menukarnya dengan Ether di Uniswap. Setelah menukar dana di Uniswap, ETH kemudian akan ditransfer ke alamat UniCats. Untuk menutupi jejak dana yang dicuri, tim UniCats memindahkan dan mencampur transaksi massal 100 ETH dengan dana lain melalui Tornado.cash.
UniCats bukanlah protokol DeFi pertama yang mengalami celah kontrak pintar yang mengizinkan penarikan tak terbatas. Bancor Network, protokol likuiditas on-chain, teridentifikasi celah serupa pada 17 Juni yang memungkinkan peretas mencuri dana dari pengguna yang berinteraksi dengan kontrak pintar Bancor. Ketika tim Bancor mengakui kerentanannya, itu memutuskan untuk menyerang white-hat kontrak sebelum pelaku jahat dapat menguras dana pengguna.
Celah dan batasan token ERC-20
Celah kontrak pintar yang mengizinkan penarikan tak terbatas berasal dari batasan ERC-20. Kontrak pintar berdasarkan standar ERC-20, seperti Bancor dan UniCats, tidak dapat mendeteksi apakah pengguna telah mentransfer dana ke kontrak. Kontrak tersebut membutuhkan persetujuan yang telah ditetapkan untuk mentransfer atau menarik dana atas nama pengguna. Persetujuan biasanya ditetapkan sebagai penarikan tak terbatas, yang mengurangi biaya gas dan waktu persetujuan penarikan.
Standar token alternatif berusaha untuk menyelesaikan celah ini. Misalnya, standar ERC-223 menghilangkan kebutuhan untuk menyetujui penarikan. Namun, penerapan standar ERC-223 adalah terbatas karena penggunaan gas yang berlebihan dan gesekan yang terjadi saat memigrasi data dari ERC-20 ke standar ERC-223.
Dalam komentarnya di OKEx Insights, Manuskin percaya bahwa paling aman bagi petani hasil untuk hanya berinvestasi dalam protokol DeFi yang mapan dan diaudit. Dia menjelaskan:
"Berinteraksi dengan peternakan tergantung pada seberapa besar risiko yang bersedia Anda ambil. Selalu ada rute aman dengan hanya menggunakan kontrak yang sudah mapan dan diaudit. Ini bukan jaminan tidak ada masalah keamanan, tetapi jauh lebih baik daripada tidak sama sekali. Beberapa pengguna mungkin ingin ‘beralih’ ke proyek baru yang mungkin tidak memiliki waktu untuk menjalani audit resmi. Secara alami, ini lebih berisiko. [Tetapi] jika proyek memiliki nilai nyata, anggota masyarakat sendiri dapat membaca kontrak dan melakukan audit informal."
Lebih lanjut, Manuskin yakin pengguna harus memperhatikan kontrak yang dapat ditingkatkan, karena mereka menghadirkan situasi yang sangat berbahaya. Dia mencatat:
"Sesuatu yang harus diperhatikan adalah kontrak yang dapat ditingkatkan. Ini adalah pola desain yang umum, tetapi jika ada satu pemilik yang dapat melakukan peningkatan, Anda mempercayai mereka untuk tidak menyalahgunakan kekuasaannya. Mereka mungkin meningkatkan kontrak menjadi yang berbahaya, meskipun pada awalnya benar-benar aman."
Jadilah petani hasil yang rasional
Kasus "Jhon Doe" dan UniCats hanyalah gambaran singkat dari kondisi pertanian hasil saat ini, di mana pengguna bersedia untuk masuk ke protokol DeFi yang tidak dikenal atau tidak diaudit untuk memaksimalkan hasil panen mereka. Ini juga dapat dilihat dalam insiden keamanan baru-baru ini dari Eminence Finance. Protokol DeFi yang belum selesai oleh pendiri yield.finance Andre Cronje, Yang Mulia menderita dari retasan $ 15 juta – meskipun, setengah dari dana dikembalikan. Sementara Cronje mengklaim bahwa protokol Eminence masih dalam tahap uji coba, beberapa petani masih menghasilkan dituangkan dana mereka ke dalam protokol, tanpa memahami cara kerjanya.
Dengan hype seputar pertanian hasil mulai mereda, kasus UniCats dan Eminence baru-baru ini mungkin memberikan alasan yang baik bagi petani hasil untuk berhenti sejenak dan meluangkan waktu untuk berinvestasi secara rasional. Cronje juga memberi nasihat serupa untuk petani hasil ketika dia memohon, "Jika Anda tidak memahaminya, jangan gunakan."
OKEx Insights menyajikan analisis pasar, fitur mendalam, penelitian asli & berita yang dikurasi dari profesional crypto.
