Хакерът, който открадна $52 милиона от базирания в Солана протокол Cashio на 23 март 2022 г., като използва непълна система за валидиране на обезпечение за копаене на $CASH, изисква обосновка от доставчиците на ликвидност защо трябва да бъдат възстановени.
Извършителят поиска от жертвите, които са загубили повече от 100 XNUMX долара, да представят обосновка, в която се посочва защо средствата им трябва да бъдат върнати, поговорка че няма да възстановят средствата на богатите американци и европейци и че тяхното „намерение е да вземат пари от тези, които не се нуждаят от тях, а не от тези, които имат нужда“. Хакерът е вградил това съобщение в Ethereum транзакция рано сутринта в понеделник. Доставчик на общността на Cashio създаде уебсайт за жертвите да изпращат отговори, като използва шаблон, предоставен от хакера. Всички жертви губят под $100 XNUMX са възстановени.
Как се случи нападението?
За да копаете нови $CASH токени, стабилни монети, подкрепени от USDC и Tether от доставчици на ликвидност, потребителят трябва да депозира обезпечение в сметка за обезпечение, собственост на Cashio, която надвишава изсечената сума. Депозитът трябва да премине набор от тестове, за да се гарантира, че депозираните токени съответстват на типа в сметките на протокола.
Интелигентен договор на Cashio проверено че типът токен съвпада с този на акаунта saber_swap.arrow, но не е извършил проверка на параметъра „mint“ в акаунта saber_swap.arrow, позволявайки създаването на фалшив акаунт saber_swap.arrow, за да позволи фалшив акаунт crate_collateral_tokens, който направи възможно да депозирате безполезно обезпечение.
След изсичане на два милиарда долара КЕШ с помощта на фалшивото обезпечение, нападателят изтегли USDC и Tether на стойност 52 милиона долара, разменяйки стабилните монети за ETH, използвайки Paraswap и Curve след това. Атаката продължи един час. Токенът $CASH срина от предвидения й долар до почти нула след атаката.
Sabre работи с Cashio, за да постави на пауза тегления
След хакването екипът от знаете ли, чеr, крос-верижният автоматизиран маркет мейкър Солана, постави на пауза всички тегления в Cashio и работи с Cashio, за да замрази интелигентните им договори след това. Автоматизираният маркет мейкър е вид интелигентен договор, който регулира цените на различни токени въз основа на тяхното изобилие или недостиг в ликвиден пул, като таксува за суапове на токени (напр. размяна на ETH за BAT) за плащане на доставчици на ликвидност.
Приложенията за децентрализирани финанси зависят от хората, които депозират ликвидност в ликвиден пул. Колкото повече от даден токен, толкова по-ниска ще бъде цената му за размяна.
Екипът на Sabre предлага награда от 1 милион долара за информация, водеща до ареста на нападателя.
Какво мислите за тази тема? Пишете ни и ни кажете!
Отказ от отговорност
Цялата информация, съдържаща се на нашия уебсайт, се публикува добросъвестно и само за обща информация. Всяко действие, което читателят предприема спрямо информацията, намираща се на нашия уебсайт, е на свой собствен риск.
Източник: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/