Alarmująca podwójna krawędź Web3: poza włamaniem do Solany

Web3 upada, gdy stablecoin Cashio oparty na Solanie stracił na wartości po tym, jak doświadczony atakujący wykorzystał go za około 28 milionów dolarów. W miarę narastania rozlewu krwi w dywanach warto przedyskutować, jaka jest stawka w szerszej perspektywie.

Powiązane artykuły | Coinbase odrzuca linki do kryptowalut po zagrożeniach typu „Rug Pull”

Jak to się stało

Badacz z Paradigm wyjaśnione atak za 50 milionów dolarów.

Kolejny dzień, kolejny exploit na fałszywe konto Solana. Tym razem, @kasyka stracił około 50 milionów dolarów (na podstawie szybkiego przeglądu). Jak to się stało? pic.twitter.com/t7ThWL4zr1

- samczsun (@samczsun) 23 marca 2022 r.

Użytkownicy Cashio wybili token CASH, deponując tokeny Sabre USDT-USDC LP jako zabezpieczenie. Sabre to wielołańcuchowy automatyczny animator rynku dla powiązanych aktywów na platformie Solana.

Chociaż protokół sprawdza konta posiadaczy tokenów, system sprawdzania poprawności Cashio był z tego powodu niekompletnynie zapewniaj źródła zaufania. To otworzyło drzwi do nieskończonej mięty.

Badacz dalej wyjaśnione to "Osoba atakująca po prostu utworzyła fałszywe konta, a następnie powiązała je z powrotem, aż w końcu utworzył fałszywe konto crate_collateral_tokens.

W ten sposób byli w stanie wybić tokeny LP z puli $CASH za pomocą dowolnego tokena, „następnie spalić tokeny LP SaberSwap, które zostały wypłacone za 10.8 mln UST i 16.4 mln USDC, a pozostałe 1.97 mld CASH zamieniono na 8.6 mln UST i 17 mln USDC na SabreSwap.”

Cena $CASH spadła do zera, a exploiter pozostawił intrygującą wiadomość:

„Konto z kwotą mniejszą niż 100 tys. zostało zwrócone. wszystkie pozostałe pieniądze zostaną przekazane na cele charytatywne.”

To było Zatwierdzony że haker zwrot kosztów część skradzionych środków do pul wUST i USDC. Ale działalność charytatywna? Nie sądzę.

Robinhood Solany?

Joe McGill z TRM Labs pomaga zidentyfikować sprawcę i Zatwierdzony że pracują pod przewodnictwem dostarczonym przez pisarza Stefan Stankovic z Cryptobriefing, który dowiedział się, że exploiterem może być 16-letni nastolatek (przynajmniej tak twierdził tutaj), który występuje pod pseudonimem Ariusuha i brał udział w wielu akcjach wyciągania dywaników.

Ostatnie ustalenia pokazują, że portfel exploita, 6D7f, został sfinansowany z portfela SWZ, który został poprzednio połączony do wspomnianych uchwytów do dywaników NFT. Doodle Dragons NFT, Balloonsville NFT i dla dobrych ludzi. W przypadku tego pierwszego obiecał przekazać WWF 30,000 XNUMX dolarów, a kiedy to nastąpiło, na jego usuniętym już koncie na Twitterze zamieścino następującą wiadomość:

Możemy więc założyć, co się stanie z Ariusuhy ostatnia intencja charytatywna.

Jednak ten ostatni atak mógł być za duży dla Ariusuhy. Badania Stankovicia wykazały, że Ariusuha może mieć profil na OpenSea, który jest połączony z Ethereum portfel wcześniej finansowane przez scentralizowana giełda FTX. Może to z łatwością doprowadzić władze do napastnika. 

Powiązane artykuły | Ethereum DAO Haker Doxxed? Jak to narzędzie łańcuchowej analizy doprowadziło do jego tożsamości?

Niebezpieczeństwo Web3

W ekosystemie Web3 projekty są ciągle usuwane na dalszy plan. I wielu użytkowników nie chce z tego zrezygnować, ale dlaczego?

Wielu fanatyków NFT/Web3 wydaje się być bardzo młodych. Zwykle lubią się tym przechwalać. Koncentrując się na razie na młodych, przyjrzyjmy się możliwemu wzorcowi tego współczesnego zjawiska społecznego:

1. Chwalenie się: wydaje się, że młode pokolenia odczuwają dużą presję, aby szybko zostać milionerami. Zarabiaj szybko, abyś mógł o tym publikować. Podobnie jak w przypadku skarg, jakie branża kosmetyczna otrzymuje za pośrednictwem mediów społecznościowych w związku z jej niebezpiecznymi skutkami, podobny przypadek możemy zaobserwować w przypadku pieniędzy.
2. Współczesne zmartwienia: z drugiej strony młodsze pokolenia stają w obliczu surowej rzeczywistości rosnącej inflacji i niezadowalających wynagrodzeń. Jak zapewnić? Jak odnieść sukces? Media społecznościowe pokazują wiele osób, które wydają się zyskać tak wiele, robiąc tak niewiele. Wiele osób nie może powstrzymać się od zadawania sobie pytania: po co tyle pracować, a wciąż nie starcza na emeryturę?
3. Tło: świat, który już wydaje się dystopijny. Pandemia, polityka, wojna itp. itd.
4. Rozpacz: każdy z tych scenariuszy, próżny czy nie, może być źródłem cichej rozpaczy. Jak możemy sobie poradzić? [Przewiń, przewiń, opublikuj selfie, przewiń] „Ty też możesz zostać milionerem beztrosko” – obiecuje post.
5. Marzenia: a coś, co wydaje się zabawne i kolorowe, zapowiada się na projekt jak żaden inny. Twierdzą, że są przejrzyści i zrównoważeni, projekt wygląda na taki, który będzie zarabiał pieniądze, inne projekty to zrobiły, i mogą też wrzucić tam słowo „zdecentralizowany”.

Jednak nie wszyscy użytkownicy mogą stwierdzić, że wiele z tych projektów ma problemy z bezpieczeństwem i padają ofiarą oszustwa. I nawet jeśli wiedzą, że jest to ryzykowne, ta cicha rozpacz społeczna może im w jakiś sposób pomóc w popchnięciu ich. A oszuści nauczyli się, jak zaatakować dywan.

Jeśli ekosystem Web3 nie wyznaczy wyraźnych granic, aby temu zapobiec, użytkownicy zawsze będą grać mieczem obosiecznym, który może ostatecznie przebić większą bańkę i przerodzić się w największe jak dotąd straty.

Być może eksploatowane są nie tylko pliki JPEG, ale cała ludzka psychika.