自Defi热度火爆之后,流动性挖矿项目成为无数币圈人士的热门选择。

而YFI的价格飙升暴涨无疑也带动了币圈一片“农产业”的发展,大批币民化身“农民”投身“耕种农业”事业中。

近期,有爆料指出:某“农场农民”一夜之间损失了价值14万美元的Uniswap代币UNI,而这与一个名为UniCats的“收益农场”有关。

究竟是怎么回事呢?让我们一起来看看吧!

据了解,一些参与DeFi提供流动性挖矿赚取收益的用户偶然发现了这个名为UniCats的新服务器场。

不仅具有独特的图稿和用户界面,让人联想到Yam或SushiSwap,并且收益相对来说也较为可观,在挖矿本地MEOW代币的同时还可挖出包括UNI在内的其它代币。

界面友好,产能不赖,自然资金入场,就这么掉进了平台陷阱。

曝光| UniCats “开后门”:钓鱼代码,一夜搬空用户14万美元?-区块链315

实际上,在用户将资金存入Unicat时,系统会提示他“支出限额允许”窗口,并为其分配了“无限”支出限额。

看似一个普通的权限允许,实际内里大有文章。

在这个提示“支出限额允许”窗口的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”,可悄悄转移用户资产到指定的地址,由于是“无额度”限制授权,还能够转移用户所有的资产。

于是,仅仅只用了一晚上的功夫,就成功搬空了用户价值14万美元的UNI。

曝光| UniCats “开后门”:钓鱼代码,一夜搬空用户14万美元?-区块链315

“资金转移”现场

那么,UniCats开的这个“后门”,又是怎么对用户做到神不知鬼不觉的“窃金操作”的呢?

1、平台首先将UniCats的owner权限转移给了其他的一个合约地址。

2、平台可以通过获得owner权限的合约地址调用UniCats的setGovernance方法。

3、通过相关函数调用,可以将用户资产转移到平台指定的地址。

曝光| UniCats “开后门”:钓鱼代码,一夜搬空用户14万美元?-区块链315

很多用户不知道的是,在此次事件中 ,这个名叫的set Governance函数存在至关重要。

虽然注释表示此函数是一个修改治理合约的函数,但其实在UniCats合约代码中,set Governance函数就是一个“资金转移”函数,一份代码版的“合同后门”,保留了平台对用户代币的控制权

通过这个函数,UniCats合约即可作为调用者,向任意合约发起任意调用,从而将用户地址中的UNI转移到该开发人员控制的地址中。

并且,由数据可知,在用户资产进行盗窃时,UniCats还刻意多次变换owner地址,甚至在资产转出时还立刻设置了混淆器。

老练狠辣、一气呵成,基本可以断定,该项目就是一个彻头彻尾的骗局,为的就是钓鱼诈骗而上线!

因此,对于用户而言,来自合约的一切许可请求都要格外注意,时刻警惕恶意项目方的此类“后门”陷阱,宁愿理性退场,千万不要贸然入坑。

添加新手交流群:币种分析、每日早晚盘分析

添加区块链向导微信,一对一亲自指导:heyanlai2012