自Defi熱度火爆之後,流動性挖礦項目成為無數幣圈人士的熱門選擇。
而YFI的價格飆升暴漲無疑也帶動了幣圈一片“農產業”的發展,大批幣民化身“農民”投身“耕種農業”事業中。
近期,有爆料指出:某“農場農民”一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與一個名為UniCats的“收益農場”有關。
究竟是怎麼回事呢?讓我們一起來看看吧!
14萬美元不翼而飛,數字貨幣再現“釣魚”騙局,血虧!
據瞭解,一些參與DeFi提供流動性挖礦賺取收益的用戶偶然發現了這個名為UniCats的新服務器場。
不僅具有獨特的圖稿和用戶界面,讓人聯想到Yam或SushiSwap,並且收益相對來說也較為可觀,在挖礦本地MEOW代幣的同時還可挖出包括UNI在內的其它代幣。
界面友好,產能不賴,自然資金入場,就這麼掉進了平臺陷阱。
14萬美元不翼而飛,數字貨幣再現“釣魚”騙局,血虧!
實際上,在用戶將資金存入Unicat時,系統會提示他“支出限額允許”窗口,併為其分配了“無限”支出限額。
看似一個普通的權限允許,實際內裡大有文章。
在這個提示“支出限額允許”窗口的背後,UniCats開發者早已暗置了一個直通自家資產的“後門”,可悄悄轉移用戶資產到指定的地址,由於是“無額度”限制授權,還能夠轉移用戶所有的資產。
於是,僅僅只用了一晚上的功夫,就成功搬空了用戶價值14萬美元的UNI。
14萬美元不翼而飛,數字貨幣再現“釣魚”騙局,血虧!
“資金轉移”現場
那麼,UniCats開的這個“後門”,又是怎麼對用戶做到神不知鬼不覺的“竊金操作”的呢?
1、平臺首先將UniCats的owner權限轉移給了其他的一個合約地址。
2、平臺可以通過獲得owner權限的合約地址調用UniCats的setGovernance方法。
3、通過相關函數調用,可以將用戶資產轉移到平臺指定的地址。
14萬美元不翼而飛,數字貨幣再現“釣魚”騙局,血虧!
很多用戶不知道的是,在此次事件中 ,這個名叫的set Governance函數存在至關重要。
雖然註釋表示此函數是一個修改治理合約的函數,但其實在UniCats合約代碼中,set Governance函數就是一個“資金轉移”函數,一份代碼版的“合同後門”,保留了平臺對用戶代幣的控制權。
通過這個函數,UniCats合約即可作為調用者,向任意合約發起任意調用,從而將用戶地址中的UNI轉移到該開發人員控制的地址中。
14萬美元不翼而飛,數字貨幣再現“釣魚”騙局,血虧!
並且,由數據可知,在用戶資產進行盜竊時,UniCats還刻意多次變換owner地址,甚至在資產轉出時還立刻設置了混淆器。
老練狠辣、一氣呵成,基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線!
因此,對於用戶而言,來自合約的一切許可請求都要格外注意,時刻警惕惡意項目方的此類“後門”陷阱,寧願理性退場,千萬不要貿然入坑。
