کاربر جدید هستید؟ ثبت نام کنید

ورود فقط با ip ایران و بدون فیلترشکن مجاز است


ورود

رمز ورود را فراموش کرده اید؟ X

قبلا ثبت نام کرده اید؟


ثبت نام

(close)

کلاهبرداری از مالک توکن یونی‌سوآپ در اتریوم

کلاهبرداری از مالک توکن یونی‌سوآپ در اتریوم
19
مهر
کلاهبرداری از مالک توکن یونی‌سوآپ در اتریوم
  • Author
    مرسده ولیزاده
  • نظر ها
    0 Comments
  • Category

یک کاربر اتریوم 140 هزار دلار توکن UNI را در یک پروژه‌ی ییلد فارمینگ (yield farming) به‌ظاهر معتبر به‌نام یونی‌کتس (UniCats) از دست داده است. UNI، توکن نظارتی پلتفرم مطرح دی‌فای یونی‌سوآپ (Uniswap) است.

این شخص ناشناس با نام مستعار جان دو (Jhon Doe، نام جان به‌عمد از سوی کاربر به این صورت نوشته شده است) پس از آشنایی با یونی‌کتس تصمیم می‌گیرد بخشی از توکن‌های UNI خود را به آن منتقل کند. یونی‌کتس در فرایند ثبت‌نام از دو می‌خواهد که مجوز استفاده از بخش “نامحدودی” از توکن‌ها را به پلتفرم بدهد. این مسئله در حوزه‌ی دی‌فای رایج است و دو با آن موافقت می‌کند.

دو پس از به‌دست آوردن مقداری توکن میو (MEOW) توکن‌های UNI خود را از پلتفرم خارج می‌کند، اما توسعه‌دهنده‌ی یونی‌کتس روشی را برای کنترل توکن‌های او، حتی پس از خروج از پلتفرم، در قرارداد هوشمند طراحی کرده بود. مسئله‌ای که دو نمی‌دانست این بود که اگر با برداشت “نامحدود” توکن از سوی پلتفرم دی‌فای موافقت شود، این پلتفرم می‌تواند در هر زمان، حتی پس از خروج توکن‌ها، این برداشت را انجام دهد.

توسعه‌دهنده‌ی یونی‌کتس توانست در دو تراکنش، 26 و 10 هزار توکن UNI به ارزش 94 و 38 هزار دلار را برداشت کند. این توکن‌ها سپس در پلتفرم یونی‌سوآپ به رپد اتر (Wrapped Ether) به ارزش 147 هزار دلار تبدیل شده‌اند. به‌نظر می‌رسد دو تنها نبوده است و مجرم حداقل 50 هزار دلار از سایر قربانیان به‌سرقت برده است.

به‌گفته‌ی الکس مانوسکین، محقق کیف پول زِن‌گو (ZenGo)، که تحقیقات مربوط به این پروژه را انجام داده است، این نوع حمله برای اولین بار در دی‌فای رخ داده است. مجرم همچنین از قراردادهای هوشمند اضافی برای هر قربانی جدید استفاده می‌کند تا قابل ردیابی نباشد. او سپس سرمایه‌های دزدی را به تورنادو ‌کَش (Tornado Cash) منتقل می‌کند که با ترکیب رمزارزها امکان پیگیری آنها را بسیار کاهش می‌دهد.

مانوسکین به کاربران هشدار داد که تنها مجوز استفاده از مقداری از توکن‌هایشان، که مدنظرشان است، را به اپلیکیشن‌ها بدهند یا پس از انتقال توکن‌ها از پلتفرم، مجوز مربوطه را لغو کنند. مانوسکین افزود که اپلیکیشن‌های دی‌فای نیز باید مقدار مشخصی توکن را از کاربران درخواست کنند و کیف پول‌ها نیز باید در صورت درخواست اپلیکیشن برای دسترسی به مقدار “نامحدود” توکن، به کاربر هشدار بدهند.

 

منبع:Decrypt


نظر شما

نظر شما

7 روز هفته ، 24 ساعته پاسخگوی شما هستیم