Attention à l’arnaque au chat mignon – Il perd 140 000 $ en cryptomonnaie en un clic

Les scams ont le vent en poupeAvec l’engouement autour du jeton de gouvernance d’Uniswap, il fallait s’attendre à ce que des scams fleurissent. C’est le cas de UniCats, qui profite de la crédulité de ses utilisateurs pour siphonner leur compte.

Toutes les bases pour démarrer sereinement sur Uniswap »

UniCats : le scam dans toute sa splendeur

Le lundi 5 octobre, Alex Manuskin, chercheur affilié à ZenGo a mis en lumière le scam UniCats à l’origine du vol d’au moins 140 000 de dollars en jetons UNI.

Celui-ci a été présenté comme un énième protocole de yield farming, qui permet de générer des jetons MEOW en y stakant des jetons UNI.

Découvrez la folle histoire du jeton UNI »

Manuskin nous conte l’histoire d’un utilisateur anonyme surnommé « Jhon Doe » à cette occasion. Après avoir découvert UniCats, Jhon décide d’y déposer ses jetons UNI en espérant prendre part au dernier protocole de yield farming à la mode.

Lorsque Jhon interagit avec le smart contract, celui-ci lui propose de « permettre à cette dApp de dépenser [ses] UNI ». Un message fort commun dans la finance décentralisée, qu’il accepte sans se poser de question.

Après avoir généré quelques jetons MEOW, ce dernier se dit qu’il est temps pour lui de retirer ses jetons UNI, ce qu’il a fait. L’histoire devrait s’arrêter là, mais c’était sans compter sur la malhonnêteté de UniCat, le créateur de UniCats.

En effet, UniCat a codé une backdoor dans le smart contract de son protocole de yield farming, grâce à une méthode appelée « setGovernance ». Cette méthode lui permet d’appeler toute donnée passée, à n’importe quelle adresse.

« UniCat appelle donc la méthode setGovernance, avec un appel au jeton UNI et l’instruction de transférer les jetons de Jhon à la ferme. Les jetons passés sont ensuite échangés avec l’ETH sur Uniswap. » – Alex Manuskin

Ainsi, pendant son sommeil, Jhon perd 26 000 UNI, puis 10 000 UNI, en 2 transactions distinctes. Le scammer UniCat a ainsi conservé le contrôle sur tous les fonds délégués au protocole, mais aussi sur tous ceux stockés sur l’adresse originelle de ce pauvre Jhon.

Une fois les fonds récupérés par UniCat et convertis en ETH sur Uniswap, ces derniers sont envoyés sur une adresse lui appartenant via Tornado.cash, une application qui permet de mixer les ETH et d’anonymiser les transactions sur Ethereum.

Attention avec les autorisations !

Ce scam met en évidence un problème commun de l’écosystème DeFi. En effet, nombreux sont les smart contracts qui demandent la permission de dépenser un montant infini de jetons lorsque vous souhaitez y déposer des fonds.

Une pratique souvent décriée, mais qui perdure malgré tout. Ainsi, pour se protéger de telles arnaques, il convient de définir un montant maximum dans l’autorisation passée au smart contract.

En outre, il est toujours bon de tester les nouveaux protocoles avec une somme réduite, afin de s’assurer en amont que celui-ci offre bien le service qu’il annonce.

Malheureusement pour Jhon Doe, UniCat a méticuleusement brouillé les traces et les fonds sont quasiment impossibles à retracer. Espérons tout de même que sa mésaventure puisse permettre à d’autres utilisateurs d’éviter de tomber dans le piège. 

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.