ตามที่นักวิจัยของ ZenGo Alex Manuskin ระบุว่า มีผู้ใช้อย่างน้อยหนึ่งรายสูญเสียโทเค็น UNI ของ Uniswap มูลค่ากว่า 140,000 ดอลลาร์ (กว่า 4 ล้านบาท) แม้ว่าพวกเขาจะถอนเงินออกจากโปรโตคอล DeFi ที่ชื่อ UniCats แล้วก็ตาม รวมไปถึงยังมีผู้ใช้รายอื่น ๆ อีก ที่สูญเสียเงินประมาณ 50,000 ดอลลาร์
ผู้ใช้ตกเป็นเหยื่อของสิ่งที่เป็นอันตรายสามารถพบเห็นได้ทั่วไปใน DeFi ซึ่งโปรโตคอลส่วนใหญ่จะมีการขออนุญาตถอนโทเค็นไม่จำกัดจำนวนจากกระเป๋าเงินของลูกค้า ซึ่งสิ่งนี้ทำให้ smart contract สามารถทำธุรกรรมโทเค็นได้มากเท่าที่พวกเขาต้องการในนามของเจ้าของกระเป๋าเงินแต่ละราย
กระเป๋าเงินบางแห่ง จะช่วยให้ผู้ใช้สามารถปรับจำนวนเงินที่อนุมัติได้ด้วยตนเอง แม้ว่าโดยทั่วไปจะตั้งค่าเริ่มต้นเป็นค่าสูงสุดก็ตาม
และในกรณีของ UniCats Manuskin อธิบายว่า:“ไม่เพียงแต่มีการ rug pull และการหลอกลวงเท่านั้น แต่ยังมีต้องการติดตามโทเค็นที่ได้รับอนุมัติทั้งหมดของผู้ใช้ด้วย”
Contract ของ UniCats มีฟังก์ชัน “setGovernance” ที่ให้เจ้าของเรียกใช้ฟังก์ชันใด ๆ ในชื่อ contract เนื่องจากผู้ใช้ให้การอนุมัติ contract นี้อย่างไม่มีที่สิ้นสุด นักพัฒนาจึงสามารถถอนยอดเงินคงเหลือของ UNI ของผู้ใช้ไปได้ทั้งหมด
โทเค็น UNI ที่ถูกขโมยไปถูกเทขายทันทีเป็น Ether ( ETH ) และถูกส่งไปยัง Tornado Cash เพื่อ mixe หรือปิดบังธุรกรรม ทำให้หลายคนตั้งคำถามว่าการกระทำเหล่านี้มีการไตร่ตรองไว้ล่วงหน้าหรือไม่
เหตุการณ์ดังกล่าว ชี้ให้เห็นถึงความสำคัญของการมอบเงินทุนให้กับโครงการที่ได้รับการตรวจสอบและมีชื่อเสียงเท่านั้น หลังจากเกิดความบ้าคลั่งในการทำ yield farming ซึ่งทำให้เกิดฟาร์มใหม่ ๆ ที่ไม่ค่อยมีคนรู้จักจำนวนมากโผล่ขึ้นมาเพื่อใช้ประโยชน์จากแนวโน้มดังกล่าว น่าเสียดายที่พวกเขามักจะหอบเอาเงินเหล่านั้นไปทันทีด้วยการซ่อนประตูหลังประเภทต่างๆเอาไว้ และทำให้เหล่าเกษตรกรจำนวนมากถูก “rug pull” และเงินทุนของพวกเขาก็หมดลงไปกับเหตุการณ์ที่คล้ายคลึงกันนี้
“ผู้สร้าง” UniCats มีการสร้าง backdoor ใน smart contract ด้วยกลไกที่ช่วยให้เค้าสามารถควบคุมโทเค็นได้ตลอดไปในกระเป๋าเงินของผู้ใช้แม้ว่าจะถูกถอนออกจากแพลตฟอร์มไปแล้วก็ตาม ทำให้กระเป๋าเงินจะถูกบุกรุกอย่างสมบูรณ์ และหมายความว่าโทเค็นใหม่ที่ส่งไปยังที่อยู่นั้นก็สามารถถูกขโมยได้ในลักษณะเดียวกัน
Manuskin เรียกร้องให้ผู้ใช้ อนุมัติโทเค็นที่ต้องการใช้จ่ายเท่านั้น เนื่องจากจำนวนเงินที่ได้รับอนุมัติจะเป็นศูนย์หลังจากสัญญาใช้งานหรือยกเลิกการเข้าถึงเงินทุนของพวกเขาในภายหลัง
“ปัญหาส่วนใหญ่เกิดจากการที่ผู้ใช้มีความซับซ้อนในการอนุมัติจำนวนเงินแบบ infinite เนื่องจากนี่เป็นมาตรฐานใน dapps ยอดนิยมเช่นกัน” และเสริมว่า “ในด้าน dapp พวกเขาควรพิจารณาอนุญาตในจำนวนที่จำเป็น แม้ว่าจะทำให้ผู้ใช้ไม่สะดวกก็ตาม ทางด้านกระเป๋าสตางค์กระเป๋าก็ควรแจ้งเตือนผู้ใช้ว่าพวกเขากำลังให้สิทธิ์โทเค็นในปัจจุบันและอนาคตทั้งหมด
อ้างอิง : LINK
