UNI:當信任DeFi開發者時，許多DeFi農民的損失比預期的要多

最近，尋求快速獲利的Yieldfarmers(農民，指通過為DeFi提供流動性賺取收益的人)被稱為UniCats的可疑DeFi協議所欺騙，該協議使人們想起了其他更著名的協議，如SushiSwap或YamFinance。

據ZenGo的研究人員AlexManuskin稱，即使從Uniswap協議中撤出了資金后，至少有一個用戶失去了價值超過14萬美元的Uniswap的UNI代幣。Manuskin告訴Cointelegraph，其他用戶損失了約50000美元。

CertiK：12月閃電貸攻擊總額達760萬美元:金色財經報道，據CertiKAlert數據顯示，12月閃電貸攻擊總額達760萬美元，較11月的攻擊總額520萬美元有所增長。

其中，DeFi協議Lodestar Finance損失總額約650萬美元。[2023/1/1 22:19:42]

用戶成為DeFi中常見的危險行為的受害者，在DeFi中，大多數協議都會要求獲得授權，以從客戶的錢包中提取無限量的特定代幣。正如Cointelegraph先前報道的那樣，像Compound、Uniswap、Kyber等去中心化應用通常具有豐厚的補貼。這使智能合約可以代表每個錢包所有者進行任意數量的特定代幣交易。

新加坡金管局常務董事：央行和監管機構需要對各種加密創新采取差異化的方法:9月2日消息，新加坡金融管理局（MAS）常務董事（董事總經理）RaviMenon在國際貨幣基金組織（IMF）發表的一篇新評論文章中表示，中央銀行和監管機構需要對各種加密創新采取差異化的方法。MAS積極推動數字資產的創新和負責任的使用。數字資產生態系統提供了巨大的經濟潛力。它可以促進更有效的交易并釋放未開發的經濟價值。對這些不同的創新將如何發展過于明確是愚蠢的。中央銀行和監管機構必須不斷監測趨勢和發展，并相應地調整其政策和戰略。但是，可以想象未來數字資產生態系統是金融領域的永久特征，與當今基于中介的系統共存。[2022/9/3 13:05:56]

有些錢包允許用戶手動調整已批準的金額，盡管默認情況下，這通常被設置為可能的最大金額。

Twitter向馬斯克提供有關垃圾郵件，虛假賬戶的內部數據:金色財經報道，Twitter發言人表示，他們將把內部垃圾機器人數據交給埃隆·馬斯克，他們打算敲定出售該平臺的交易。（華盛頓郵報）[2022/6/9 4:12:48]

Manuskin解釋說，UniCats就是這種情況：“這不僅是一種欺騙行為，也是一種騙局，它還想獲取用戶所有的代幣。”

UniCats合約包含一個“setGovernance”函數，允許其所有者以合約的名義調用任何函數。由于用戶無限制地批準了該合約，因此開發人員可以提取用戶的全部UNI代幣。

被提取的代幣立即轉換成以太坊出售，然后將其發送到TornadoCash進行混合，這讓很多人懷疑這些行動是否有預謀。

這一事件凸顯了僅將資金委托給經過審查且信譽良好的項目的重要性。在yieldfarming的狂熱之后，許多鮮為人知的項目紛紛涌現，以利用這一趨勢。不幸的是，它們通常是直接搶現金，并且具有不同類型的后門。在類似事件中，許多農民被“欺騙”，他們損失了全部資金。

與UniCats的不同之處在于，“構建者”通常將自己限于委托給協議的代幣。豐厚的補貼機制允許合約永久提取用戶錢包中的每個代幣。在取消批準之前，錢包將完全被盜用，這意味著發送到該地址的任何新代幣都可以以相同方式被盜。

批準機制對于限制于以太坊ERC-20標準的代幣來說是有必要的。DApp和智能合約無法檢測用戶是否已向合約轉移資金。因此，合約代表用戶轉移資金，這需要預先批準。盡管這種類型的代幣仍然存在漏洞，并且仍可能成為盜竊的受害者，但是像ERC-777等較新標準解決了該缺陷。

設置無限批準的理由是，用戶無需分別批準每個交易，從而節省了gas費和時間。然而，正如Bancor漏洞在6月份所顯示的那樣，任何合約中的妥協都會使用戶遭受盜竊，即使他們已經有一段時間沒有與該協議進行交互了。

Tags：UNIDEFIEFIDEFBUNI幣DeFiAIEVAL DEFIDeflect Protocol

非小號