Hackeren som stjal 52 millioner dollar fra den Solana-baserte Cashio-protokollen 23. mars 2022 ved å utnytte et ufullstendig sikkerhetsvalideringssystem for å prege $CASH, krever begrunnelser fra likviditetsleverandører for hvorfor de skal refunderes.
Gjerningsmannen ba ofre som tapte mer enn $100 XNUMX om å sende inn en begrunnelse for hvorfor pengene deres skulle returneres, sier at de ikke ville refundere velstående amerikanere og europeere og at deres "intensjon var å ta penger fra de som ikke trenger det, ikke fra de som gjør det." Hackeren innebygde denne meldingen i en Ethereum transaksjon tidlig mandag morgen. En Cashio-fellesskapsleverandør opprettet et nettsted for ofre for å sende inn svar, ved å bruke en mal levert av hackeren. Alle ofre taper under $100 XNUMX har blitt refundert.
Hvordan skjedde angrepet?
For å prege nye $CASH tokens, stablecoins støttet av USDC og Tether fra likviditetsleverandører, må en bruker sette inn sikkerhet på en sikkerhetskonto eid av Cashio som overstiger beløpet som er preget. Innskuddet må bestå et batteri av tester for å sikre at brikkene som settes inn samsvarer med typen i protokollens kontoer.
Cashios smarte kontrakt sjekket at tokentypen samsvarte med saber_swap.arrow-kontoen, men utførte ingen sjekk på "mint"-parameteren i saber_swap.arrow-kontoen, noe som muliggjorde opprettelsen av en falsk saber_swap.arrow-konto for å tillate en falsk crate_collateral_tokens-konto som gjorde det mulig å sette inn verdiløs sikkerhet.
Etter å ha preget to milliarder $CASH ved å bruke den falske sikkerheten, trakk angriperen ut USDC og Tether verdt 52 millioner dollar, og byttet ut stabile mynter for ETH ved å bruke Paraswap og Curve etter det. Angrepet varte i en time. $CASH-tokenet falt fra den tiltenkte dollarbindingen til nesten null i kjølvannet av angrepet.
Sabre jobber med Cashio for å sette uttak på pause
Etter hacket, laget fra du vetr, den automatiske markedsmakeren på tvers av kjeder på Solana, stoppet alle uttak i Cashio og jobbet med Cashio for å fryse smartkontraktene deres etter det. En automatisert market maker er en type smart kontrakt som regulerer prisene på forskjellige tokens basert på deres overflod eller knapphet i en likviditetspool, og tar betalt for token-bytteavtaler (f.eks. bytte ETH for BAT) for å betale likviditetsleverandører.
Desentraliserte finansapplikasjoner er avhengige av at folk setter inn likviditet i en likviditetspool. Jo mer av et bestemt token, desto lavere vil prisen være for bytte.
Sabre-teamet tilbyr en belønning på 1 millioner dollar for informasjon som fører til angriperens arrestasjon.
Hva synes du om dette emnet? Skriv til oss og fortell oss!
Ansvarsfraskrivelse
All informasjonen på nettstedet vårt er kun publisert i god tro og kun for generell informasjon. Enhver handling som leseren tar på informasjonen som finnes på nettstedet vårt, er strengt på egen risiko.
Kilde: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/