Haker, który 52 marca 23 r. ukradł 2022 mln dolarów z protokołu Cashio opartego na Solanie, wykorzystując niekompletny system weryfikacji zabezpieczeń do bicia dolarów w gotówce, żąda od dostawców płynności uzasadnienia, dlaczego powinni otrzymać zwrot pieniędzy.
Sprawca zwracał się do ofiar, które straciły ponad 100 tys. dolarów, o przedstawienie uzasadnienia, w którym uzasadnia potrzebę zwrotu środków, powiedzenie że nie zwrócą pieniędzy zamożnym Amerykanom i Europejczykom oraz że ich „zamiarem było zabranie pieniędzy tym, którzy ich nie potrzebują, a nie tym, którzy ich potrzebują”. Haker umieścił tę wiadomość w pliku Ethereum transakcja wczesnym rankiem w poniedziałek. Sprzedawca społeczności Cashio utworzył witrynę internetową, na której ofiary mogły przesyłać odpowiedzi, korzystając z szablonu dostarczonego przez hakera. Wszystkie ofiary straciły mniej niż 100 tys. dolarów zostały zwrócone.
Jak doszło do ataku?
Aby wybić nowe tokeny $CASH, monety stabilne wspierane przez USDC i Pęta od dostawcy płynności, użytkownik musi zdeponować zabezpieczenie na koncie zabezpieczającym należącym do Cashio, którego wartość przekracza kwotę wybitą. Depozyt musi przejść szereg testów, aby upewnić się, że zdeponowane tokeny odpowiadają typowi na kontach protokołu.
Inteligentny kontrakt Cashio w kratę że typ tokena był zgodny z typem tokena konta saber_swap.arrow, ale nie sprawdził parametru „mint” na koncie saber_swap.arrow, umożliwiając utworzenie fałszywego konta saber_swap.arrow, aby umożliwić utworzenie fałszywego konta crate_collateral_tokens, które to umożliwiło zdeponować bezwartościowe zabezpieczenie.
Po wybiciu dwóch miliardów dolarów w gotówce przy użyciu fałszywego zabezpieczenia, atakujący wycofał USDC i Tether o wartości 52 milionów dolarów, a następnie zamienił monety stabilne na ETH za pomocą Paraswap i Curve. Atak trwał godzinę. Token $CASH spadł z zamierzonego kursu dolara do niemal zera w następstwie ataku.
Sabre współpracuje z Cashio, aby wstrzymywać wypłaty
Po włamaniu zespół z Wier, międzyłańcuchowy zautomatyzowany animator rynku Solana, wstrzymał wszystkie wypłaty do Cashio i współpracował z Cashio, aby następnie zamrozić ich inteligentne kontrakty. Zautomatyzowany animator rynku to rodzaj inteligentnego kontraktu, który reguluje ceny różnych tokenów w oparciu o ich liczebność lub niedobór w puli płynności, pobierając opłaty za zamianę tokenów (np. zamianę ETH na BAT) w celu zapłaty dostawcom płynności.
Zdecentralizowane aplikacje finansowe zależą od osób deponujących płynność w puli płynności. Im więcej danego tokena, tym niższa będzie jego cena za wymianę.
Zespół Sabre oferuje nagrodę w wysokości 1 miliona dolarów za informacje prowadzące do aresztowania napastnika.
Co myślisz o tym temacie? Napisz do nas i powiedz nam!
Odpowiedzialność
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na własne ryzyko.
Źródło: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/