Un chercheur découvre une nouvelle faille sur la DeFi

Alex Manuskin, chercheur sur le portefeuille ZenGo, a révélé aujourd’hui que les protocoles DeFi pourraient utiliser une faille pour voler des fonds à des utilisateurs peu méfiants. Cette méthode aurait été utilisée pour voler des jetons UNI d’une valeur de 140 000 dollars à un certain utilisateur d’Ethereum, ce qui pourrait affecter plusieurs autres personnes.

La Faille

Selon Manuskin, les protocoles DeFi peuvent avoir dans leur smart contract une faille qui lui permet de garder le contrôle sur les jetons de ses utilisateurs même après qu’ils aient été retirés de son pool.

UniCats, un jeton lancé le week-end dernier, a utilisé cette faille pour voler des centaines de milliers de dollars.

L’utilisateur a déposé quelques UNI dans le pool de liquidités d’UniCats pour le farming de quelques jetons $MEOW, avec le message typique “allow this dApp to spend your UNI” qui apparaît. C’est dans ce message d’approbation que l’utilisateur n’a pas remarqué qu’il avait autorisé le smart contract à dépenser une quantité infinie de jetons à partir de l’adresse, même après avoir retiré des liquidités du pool.

Le propriétaire du protocole UniCats utilise alors la faille “setGovernance” du smart contract du projet pour voler les jetons UNI en deux transactions distinctes, d’abord pour 26 000, puis pour 10 000 UNI d’une valeur combinée de 132 000 dollars au moment de la transaction.

Les fonds volés ont ensuite été échangés quelques heures plus tard contre du 416 Wrapped Ether (wETH) d’une valeur de 147 000 dollars sur Uniswap. Selon Manuskin, il est difficile de calculer avec précision le nombre d’utilisateurs qui échouent dans ce stratagème, le propriétaire d’UniCats ayant volé pour environ 50 000 dollars d’UNI à d’autres victimes.

Après avoir volé les jetons de chaque victime, les propriétaires d’UniCats créent un nouveau smart contract et procède un transfert au contrat initial. Les fonds volés sont ensuite échangés sur l’Uniswap et dissimulés dans le portefeuille privé d’Ethereum, Tornado.Cash.

Recommandation

Le chercheur recommande à tous ceux qui ont déjà utilisé le contrat UniCats de révoquer tous les jetons qu’ils ont pré-approuvés et de veiller à n’approuver pour les transactions DeFi que le montant dont ils ont besoin.

Me suivre