Фермеры рассчитывают получить прибыль от роста токенов на хайпе нового проекта, в противном случае они ничего не теряют, возвращая вложенные средства по прошествии срока заморозки.
Хакеры показали инвесторам проекта UniCats, что код инвестиционного смарт-контракта может содержать баги, отбирающие криптовалюту после вывода средств. Злоумышленники заранее продумали схему, открыв каждому вкладчику отдельный смарт-контракт, автоматизирующий процесс кражи средств.
Инвестору предлагалось заморозить токены UNI с целью получения урожая в MEOW, подписав «стандартное» разрешение на расходование криптовалюты. Множество DeFi-платформ используют этот механизм для перемещения собранных токенов на другие DEX-биржи или платформы, как поставщики ликвидности. В случае UniCats был заложен иной механизм.
Инвестор разрешал доступ к своим средствам, выведенным из пула. Как только это произошло, хакеры запустили механизм обмена UNI на WETH которые в свою очередь смешивались в сервисе Tornado Cash, скрывающем адреса Получателей перевода.
Наличие этого механизма, как и отдельных смарт-контрактов для каждого инвестора, указывает на продуманность схемы кражи. Пользователь не подозревает, что в краже средств замешаны UniCats, так как урожай собран и средства выведены. Аналитики ZenGo пока не могут установить точное количество пострадавших и сумму хака из-за уникальности адресов каждого вклада в пул и наличия миксера.