استحوذ مستثمرو العائدات الذين يبحثون عن ربح سريع مؤخرًا على بروتوكول التمويل اللامركزي مشكوك فيه يسمى يوني كاتس - وهو مخطط استثمار عائدات يذكرنا بالبروتوكولات الأخرى الأكثر شهرة مثل سوشي سواب أو يام فاينانس.

ووفقًا للباحث في زينغو "أليكس مانوسكين"، فقد واحد على الأقل من المستخدمين أكثر من ١٤٠ ألف دولار من توكنات UNI الخاصة بيوني سواب حتى بعد أن قاموا بإزالة أموالهم من البروتوكول. وصرح مانوسكين لكوينتيليغراف أن المستخدمين الآخرين خسروا حوالي ٥٠٠٠٠ دولار أخرى.

حيث وقع المستخدمون ضحية لممارسة خطيرة شائعة في التمويل اللامركزي، حيث تطلب معظم البروتوكولات الإذن بسحب كميات غير محدودة من توكن معين من محفظة العميل. حسبما ذكر كوينتيليغراف سابقًا، غالبًا ما تتميز التطبيقات اللامركزية مثل كومباوند ويوني سواب وكايبر وغيرها بمخصصات لا نهائية. وهذا يسمح للعقود الذكية بالتعامل مع أكبر قدر ممكن من توكن معين نيابة عن كل مالك محفظة.

ستتيح بعض المحافظ للمستخدمين ضبط المبلغ المعتمد يدويًا، على الرغم من أنه يتم تعيينه بشكل عام على أقصى قيمة ممكنة بشكل افتراضي.

وكان هذا هو الحال مع يوني كاتس، حيث أوضح مانوسكين أنه: "لم يكن الأمر برمته مجرد خداع واحتيال، بل إنه يريد أيضًا السعي وراء جميع التوكنات المعتمدة من المستخدمين."

احتوى عقد يوني كاتس على وظيفة "setGovernance" الخفية التي تتيح لمالكها استدعاء أي وظيفة باسم العقد. ونظرًا لأن المستخدمين منحوا موافقات لا نهائية على هذا العقد، فقد تمكن المطور من استنزاف أرصدة مستخدمي UNI بالكامل.

تم بيع التوكنات على الفور مقابل إيثريوم (ETH)، والتي تم إرسالها بعد ذلك إلى تورنيدو كاش ليتم خلطها، مما دفع الكثيرين إلى التساؤل عما إذا كانت هذه الإجراءات مع سبق الإصرار.

يسلط الحادث الضوء على أهمية تفويض الأموال فقط للمشاريع التي تم فحصها وذات السمعة الطيبة. في أعقاب هوس استثمار العائدات، تم إنشاء العديد من مشاريع العائدات الأقل شهرة للاستفادة من هذا الاتجاه. ولسوء الحظ، كانت غالبًا عبارة عن عمليات انتزاع نقدية صريحة وتتميز بأنواع مختلفة من الأبواب الخلفية. تم "خداع" من العديد من مستثمري العائدات واستنزفت أموالهم في حوادث مماثلة.

والفرق مع يوني كاتس هو أن "البناة" عادة ما يقتصرون على التوكنات الملتزمة بالبروتوكول. تسمح آلية السماح اللانهائي للعقد بسحب كل توكن في محفظة المستخدم، إلى الأبد. وتصبح المحفظة مخترقة تمامًا حتى يتم رفع الموافقة، مما يعني أنه يمكن سرقة أي توكن جديد يتم إرساله إلى العنوان بنفس الطريقة.

وتعتبر آلية الموافقة ضرورية من خلال تقييد معيار ERC-٢٠ المستخدم في توكنات إيثريوم. لا تستطيع التطبيقات الامركزية والعقود الذكية اكتشاف إذا ما كان المستخدم قد قام بتحويل الأموال إلى العقد. وبالتالي، يقوم العقد بتحويل الأموال نيابة عن المستخدم، الأمر الذي يتطلب موافقة مسبقة. تعمل المعايير الأحدث مثل ERC-٧٧٧ على إصلاح هذا الخلل، على الرغم من أن هذا النوع من التوكنات لا يزال به نقاط ضعف ويمكن أن يظل ضحية للسرقة.

الأساس المنطقي لوضع الموافقات اللانهائية هو أن المستخدمين يوفرون رسوم الغاز والوقت من خلال عدم الاضطرار إلى الموافقة على كل معاملة على حدة. ومع ذلك، حسبما أظهرت ثغرة بانكور في يونيو، فإن أي حل وسط للعقد يعرض مستخدميها للسرقة، حتى لو لم يتفاعلوا مع البروتوكول منذ فترة.