DeFi-проект Beetsfarm украл у пользователей больше $100 тысяч, пропустив один символ в коде

DeFi-проект Beetsfarm украл у пользователей больше $100 тысяч, пропустив один символ в коде

Еще один проект из области доходного фермерства на базе сети Polygon обворовал своих пользователей. Как сообщает Rugdoc.io, ущерб от действий Beetsfarm Finance составил более $100 000. Beetsfarm позиционировался в качестве первой фермы сети Polygon, задействовавшей механизм автоматического снижения эмиссии. Rugdoc заявляют, что наткнулись на Beetsfarm при помощи своего сканера, отбирающего неверифицированные контракты. Верификация контракта позволяет подтвердить, что скомпилированный код соответствует тому, что было загружено в блокчейн. Под давлением сообщества Beetsfarm впоследствии все же верифицировали свой контракт, «однако он по-прежнему содержал наибольшее число тревожных сигналов из всех виденных нами примеров». Верификация не равносильна аудиту, который в данном случае не проводился. Контракт Beetsfarm позволял любому желающему перемещать активы между кошельками пользователей и самим проектом. Другими словами, однажды предоставив разрешение контракту, пользователь разрешал любому постороннему переводить дополнительные активы из своего кошелька в адрес проекта. Также в проекте имелась функция срочного вывода активов, работавшая похожим образом, но с одним важным отличием. Вместо вывода активов на адрес пользователя, которому соответствовал параметр «_wallet», они переводились на адрес «wallet», которым был обозначен кошелек самих создателей проекта. Хотя Beetsfarm вышел непримечательным проектом, злоумышленникам удалось украсть у пользователей весомую сумму. В этом им помогла функция неограниченного перевода активов, которые затем при помощи функции срочного вывода были перемещены в их собственный кошелек. В связи с произошедшим Rugdoc рекомендуют пользователям не взаимодействовать с неверифицированными смарт-контрактами и никогда не предоставлять разрешения на операции, которые они не готовы доверить проекту. Beetsfarm в своем Twitter продолжают завлекать клиентов, удаляя старые сообщения, под которыми их обвиняют в мошенничестве, и размещая вместо них новые.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *