DeFi吸金骗局？耕收项目 UniCats 在合约嵌入恶意函式，诓走20万美元UNI

加密货币钱包商 ZenGo 的研究人员马努什金Alex Manuskin在昨晚发表的一系列推文，披露一个名为 UniCats 的 DeFi 项目疑似在程式码中嵌入恶意代码，造成至少一位用户丢失价值 14 万美元的 UNI，再次引起众人对 DeFi 协议审计需求的关注。资安事件补充：资安月报DeFi 诈骗、跑路频发！9 月安全事件共 33 起，危害程度评级 HIGH

本文目录

研究人员马努什金昨5日推文表示，DeFi 流动性挖矿项目 UniCats 在智能合约中嵌入了一个狡猾的函数，允许项目方保留对用户资金的控制权，UniCats 背后团队便借此夺走了众多用户总计约价值 20 万美元的加密货币。

一夜清空

马努什金讲述了一个故事。一位匿名用户在以太坊上找到了名为 UniCats 的新 DeFi 协议，毫无戒心地拿出了一部分 Uniswap 的治理代币 UNI 存入 UniCats 的流动性资金池；在批准 UniCats 协议动用其钱包中的资金，匿名用户就开始挖掘 UniCats 的治理代币 MEOW。

挖了一段时间后，在该匿名用户认为差不多该提出放置在资金池中的 UNI 时，意外就发生了。马努什金表示，这位匿名用户不知道的是，一但他同意 UniCats 协议对其投入资金的使用权，只要不取消同意，UniCats 协议就拥久握有了对该资金的控制权，即便是在用户退出协议后。

马努什金指出，UniCats 在智能合约的程式码中嵌入了一行 setGovernance 函式，该函式允许协议控制人将任何数据传递至任何地址；如此，UniCats 背后团队就将该匿名用户的 UNI 拿去 Uniswap 上兑换成以太币ETH，然后扬长而去。

总计，这位在马努什金故事中的悲剧主角，共计损失了约 36000 枚 UNI。

狡猾的智能合约

马努什金表示，UniCats 背后的开发团队是一群狡猾的混蛋，他们为了掩人耳目，会在每一个新用户进场时将 UniCats 的流动性资金池所有权转移至新的智能合约上，并且每次都会提取出部分资金，再到 Uniswap 上兑换成以太币，才转入 UniCats 手上的钱包。

据了解，除了马努什金故事中的炉主，另外还有其他受害者约损失了 50000 美元。马努什金认为，实际受害金额只会更高，因为 UniCats 在兑换成以太币后，立即就透过混币器 Tornadocash 试图消抹链上踪迹，也意味着这些资金的追回难度大大提高了。

毫无疑问地，这再度凸显了 DeFi 协议需要经过审计的重要性。在 DeFi 崛起后，许多项目都是未经审计便直接面向用户，瞄准着 DeFi 使用者们一头热的心态，大肆搜刮被流动性挖矿吸入的资金，接着便拂袖离去，显得毫不费力。

DeFi 困境

值得一提的是，类似的攻击也曾发生在另一个 DeFi 协议 Bancor 身上。今年 6 月中旬，Bancor 就在检测时发现智能合约中出现严重漏洞，造成约 590000 美元面临被盗风险；不过，与 UniCats 不同，Bancor 并非刻意在程式码中置入后门。

另一方面，造成 UniCats 这种恶意协议出现的原因，马努什金认为正是现下流行的无限次批准造成的。目前，多数以 ERC20 协议发行的 DeFi 项目，通常通设置无限次批准机制，意即用户仅需花费一次性的 Gas 费，无需再分多次批准每笔协议请求：

相关报导

LINE 与 Messenger 不定期为大家服务