Por qué no deberías invertir en PancakeSwap

matenauta · June 1, 2021, 2:32am

Desde hace aproximadamente un año están proliferando proyectos descentralizados (las itálicas representan la falsedad de lo descentralizado en Binance) que prometen sumas extraordinarias por ser utilizados.

Sus características:

Funcionan en la red centralizada de Binance (vaya paradoja).
No tienen equipos de desarrollo con nombres y apellidos sino con seudónimos… Lo cual no sería un problema en caso de ser proyectos realmente descentralizados, pero no es el caso.
Están auditados (¿Desde cuándo un proyecto en blockchain necesita auditorías?)
Ofrecen sumas extraordinarias de profits (alerta mayor).

A los riesgos inherente a estos proyectos (Binance, BNB, exploits de cada protocolo) se suma el riesgo de rugpull, algo que lamentablemente es muy probable que se ponga de moda en algunos meses.

Esto sucedió de manera similar con las ICO en el bullrun anterior, donde se perdieron más de 16 billones de USD en distintas estafas (según informe de Xangle)

¿Qué es un rugpull?

Básicamente un mecanismo de salida de estafas donde el activo se queda sin liquidez, se drenan los fondos y todos pierden su dinero, salvo el desarrollador o hacker que se aproveche de esa situación.

Es algo que sucedió en PopCornSwap, SushiSwap y muchísimas plataformas que se iniciaron en el mercado con preventa y sin tener una plataforma desarrollada al momento de su lanzamiento.

SushiSwap devolvió los fondos… Pero se mantiene latente la posibilidad de que se genere lo mismo en proyectos como PancakeSwap ¿Casualidad o prueba piloto?

Técnicamente trabajan en redes diferentes, pero aquí en México sabemos que policía y narcos trabajan juntos. Cuando se trata de embaucar o estafar al resto, es indistinto quién esté del otro lado.

Goose Finance menciona lo siguiente (también discutido en varios posteos de Reddit):

Denuncia pública desde Goose Finance

Deberías profundizar por tu cuenta, pero esas líneas de código permiten que Pancake Swap haga un rugpull en 6 horas cuado la línea de código no debería estar y además de eso, tiene un valor por defecto de 48 horas.

Posiblemente un rugpull no sea algo beneficioso actualmente para los desarrolladores de PancakeSwap, pero no pensaría lo mismo con BTC en 100.000 USD, por ejemplo

La estrategia de salida de una estafa de tal magnitud contempla el momento de salida.

¿Por qué apurarse si se puede mantener a los inversores incautos adentro ofreciendo rendimientos extraordinarios para que incluso hagan publicidad gratis de la plataforma?

→ Desde este link podrás leer el código completo de PancakeSwap

Detectar plataformas De-Fi fraudulentas frente a las legítimas

Token Sniffer ofrece un punto de partida, aunque lo ideal es que analices los contratos en busca de líneas de código que permitan prácticas como la que describí.

Token Sniffer

“Si no sabes dónde estás invirtiendo tu dinero, deberías mantenerte lejos de eso”.

No soy seguidor de Warren Buffet pero considero que esa frase suya es muy acertada.

Cada uno elige dónde y cómo invertir pero es importante señalar que estos proyectos son extra-experimentales y como tales, incorporan riesgos extraordinarios.

En este caso, a la vista de todos. Analizar solo profits y olvidar los riesgos, es precisamente lo que da lugar a estafas en cripto semana tras semana.

En este mercado siempre podemos verificar donde invertimos nuestro capital

Si te interesa aportar más información al respecto, puedes comentar el artículo y con mucho gusto incorporamos lo que sume.

Esto NO es un artículo técnico para programadores, sino una alerta simple y sencilla para la mayoría de las personas que se acercan a cripto y aún no conoce ciertos riesgos a los que se expone.

mbudano · June 3, 2021, 3:26pm

Hola Mati, si me permitís agrego un poco mas de información para los curiosos que quieran profundizar en el tema.
El código que se muestra del contrato de pancakeswap esta como ejemplo en la página de Binance como un ejemplo de un mal contrato:

Haciendo la aclaración que con dicho código estamos tomando el riesgo de confiar en la o las entidades detrás de un proyecto.
Por otro lado se abrió un issue en el github de dicho contrato por el código expuesto de migrate, aun abierto y sin solución.

github.com/pancakeswap/pancake-farm

vulnerability

opened 05:58PM - 11 Feb 21 UTC

Cliffordwh

i Would suggest removing! ``` // Migrate lp token to another lp contract.… Can be called by anyone. We trust that migrator contract is good. function migrate(uint256 _pid) public { require(address(migrator) != address(0), "migrate: no migrator"); PoolInfo storage pool = poolInfo[_pid]; IBEP20 lpToken = pool.lpToken; uint256 bal = lpToken.balanceOf(address(this)); lpToken.safeApprove(address(migrator), bal); IBEP20 newLpToken = migrator.migrate(lpToken); require(bal == newLpToken.balanceOf(address(this)), "migrate: bad"); pool.lpToken = newLpToken; } ```

Me parece interesante la explicación de iamarcel el 20 de Marzo donde explica la diferencia con lo que paso en HoneySwap, pero no termino de entender cómo podríamos asegurarnos que no se puede repetir en PancakeSwap.
Por ultimo la explicación que dan los developers es que ese código es esencial para poder migrar de versiones como sucedió hace poco con la v2, nuevamente es confiar en la palabra de los desarrolladores.
Y Goose Finance aclara que no cree que PancakeSwap vaya a utilizarlo con malicia, ya que es un exchange de reputación, pero volvemos a caer en que el riesgo de invertir en estas plataformas, es confiar en un ente centralizado.
Espero ayude a alguien que le haya generado dudas el post.

Saludos.

matenauta · June 3, 2021, 4:23pm

Gracias por la data tocayo!

La cuestión en estas cuestiones es analizar los riesgos de manera objetiva.

Siempre digo que datos matan relatos (los desarrolladores anónimos hablan de una supuesta migración que necesita esa línea de código)

GabrielF · June 16, 2021, 7:10pm

Estaba viendo que el que denuncia esa línea de código (Goose Finance) diciendo que ellos no la tienen, figura como scam en el otro link que pasaste, Token Sniffer.

matenauta · June 16, 2021, 7:42pm

Habría que profundizar, es probable que esté desactualizado y marquen esa misma línea luego retirada.

¿Pudiste chequear qué es lo que encontraron en su código?

Todos estos esquemas son de altísimo riesgo y rozan estafas, Goose Finance no deja de ser uno de ellos.

La idea es no matar al mensajero y siempre verificar la información

GabrielF · June 16, 2021, 8:04pm

Fui al link (el de la columna “address”) y me llevó a una página de la que no entiendo literalmente nada, supongo que es la blockchain de ethereum.
Simplemente mencioné eso porque me llamó la atención.

matenauta · June 16, 2021, 9:17pm

Vale, aclaro entonces que Goose Finance también constituye otro proyecto de altísimo riesgo porque tal vez no quedó claro en el posteo inicial

matenauta · July 9, 2021, 4:48pm

Hace algunas horas cayó un proyecto que tiene el mismo código denunciado en PancakeSwap:

En ese tweet se puede leer “parece que utilizaron el migrator code para producir el rugpull”.

El tiempo es sabio y la paciencia, una gran virtud