DeFi

DeFi-проєкт Beetsfarm вкрав у користувачів більше $ 100 тисяч, пропустивши один символ в коді

Ще один проєкт з області дохідного фермерства на базі мережі Polygon обікрав своїх користувачів. Як повідомляє Rugdoc.io, збиток від дій Beetsfarm Finance склав понад $ 100 000. Beetsfarm позиціювався як перша ферма мережі Polygon, що залучила механізм автоматичного зниження емісії.

Rugdoc заявляють, що натрапили на Beetsfarm за допомогою свого сканера, що відбирає неверифіковані контракти. Верифікація контракту дозволяє підтвердити, що скомпільований код відповідає тому, що було завантажено в блокчейн. Під тиском спільноти Beetsfarm згодом все ж верифікував свій контракт, «проте він як і раніше містив найбільшу кількість тривожних сигналів з усіх бачених нами прикладів». Верифікація НЕ рівносильна аудиту, який в такому випадку не проводився.

Контракт Beetsfarm дозволяв будь-кому переміщати активи між гаманцями користувачів і самим проєктом. Іншими словами, одного разу надавши дозвіл контрактом, користувач дозволяв будь-кому сторонньому переводити додаткові активи зі свого гаманця на адресу проєкту.

Також в проєкті була функція термінового виведення активів, яка працювала схожим чином, але з однією важливою відмінністю. Замість виведення активів на адресу користувача, якому відповідав параметр «_wallet», вони переводилися на адресу «wallet», яким був позначений гаманець самих творців проєкту.

Хоча Beetsfarm вийшов непримітним проєктом, зловмисникам вдалося вкрасти у користувачів вагому суму. У цьому їм допомогла функція необмеженого переказу активів, які потім за допомогою функції термінового виведення були переміщені в їх власний гаманець.

У зв’язку з тим, що сталося, Rugdoc рекомендують користувачам не взаємодіяти з неверифікованими смартконтрактами та ніколи не надавати дозволу на операції, які вони не готові довірити проєкту. Beetsfarm у своєму Twitter продовжують залучати клієнтів, видаляючи старі повідомлення, під якими їх звинувачують в шахрайстві, і розміщуючи замість них нові.

Стасенко Степан

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *