Web3 се срива, тъй като базираната на Солана стабилна монета Cashio загуби стойността си, след като опитен нападател я използва за около 28 милиона долара. Тъй като кръвопролитието от дърпане на килими нараства, си струва да обсъдим какво е заложено на карта в по-голямата картина.
Свързано четене | Coinbase отхвърля връзките с криптовалута след заплахи за „издърпване на килими“.
Как се случи
Изследовател от Paradigm обясни атаката за 50 милиона долара.
Още един ден, поредната експлоатация на фалшив акаунт в Солана. Този път, @CashioApp загуби около $50 милиона (въз основа на бърз преглед). Как се случи това? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Март 23, 2022
Потребителите на Cashio изсекаха токена CASH, като депозираха токени Sabre USDT-USDC LP като обезпечение. Sabre е крос-верижен автоматизиран маркет мейкър за фиксирани активи на Solana.
Въпреки че протоколът валидира сметки на притежатели на токени, системата за валидиране на Cashio беше непълна, защото го направине осигуряват корен на доверие. Това отвори вратата за безкрайния монетен двор.
Изследователят по-нататък обясни че "Нападателят просто е създал фалшиви акаунти докрай и след това го е вързал обратно, докато накрая не е създал фалшив акаунт crate_collateral_tokens.
По този начин те успяха да секат LP токени от $CASH пул с всеки токен, „след това бяха записани за SaberSwap LP токени, които бяха осребрени за 10.8 милиона UST и 16.4 милиона USDC, а останалите 1.97 милиарда пари бяха заменени за 8.6 милиона UST и 17 милиона USDC на SaberSwap."
Цената на $CASH падна на нищо и експлоататорът остави интригуващо съобщение:
„Акаунт с по-малко 100 XNUMX са върнати. всички останали пари ще бъдат дарени за благотворителност."
Това беше потвърди че хакерът възстановяват част от откраднатите средства към wUST и USDC пулове. Но благотворителност? Ние не мислим така.
Робинхудът на Солана?
Джо Макгил от TRM Labs помага да се идентифицира виновникът и потвърди че работят с водеща информация, предоставена от писателя Стефан Станкович от Cryptobriefing, който разбра, че експлоататорът може да е 16-годишен тийнейджър (или поне така каза той тук), който носи името Ариусуха и е участвал в множество теглене на килими.
Последните открития показват, че портфейлът на експлоататора, 6D7f, е финансиран от портфейла sWZs, което е било свързани преди това към споменатия NFT килим дърпа. Doodle Dragons NFT, Balloonsville NFT и за изящни хора. В случая с първия, той беше обещал да дари 30,000 XNUMX долара на WWF и когато килимът беше изтеглен, сега изтритият акаунт в Twitter публикува това съобщение:
Така че можем да предположим какво ще се случи с на Ариусуха последното благотворително намерение.
Но тази последна атака може да е била твърде голяма за Ариусуха. Проучването на Станкович установи това Ариусуха може да има профил в OpenSea, която е свързана с an Ethereum портфейл по-рано финансиран от централизиран обмен FTX. Това лесно може да доведе властите до нападателя.
Свързано четене | Ethereum DAO Hacker Doxxed? Как този инструмент за верижен анализ доведе до неговата идентичност
Опасността от уеб3
Екосистемата Web3 продължава да вижда как проекти се дърпат отново и отново. И много потребители отказват да се откажат от него, но защо?
Много NFT/Web3 фанатици изглеждат много млади. Обикновено обичат да се хвалят с това. Фокусирайки се върху младите засега, нека да надникнем във възможен модел на този модерен социален феномен:
- самохвалство: изглежда, че младите поколения имат голям натиск бързо да станат милионери. Правете пари бързо, за да можете да публикувате за това. Подобно на оплакванията, които индустрията за красота получава за опасните си ефекти чрез социалните медии, може да наблюдаваме подобен случай с парите.
- Съвременни грижи: от друга страна, по-младите поколения са изправени пред грубата реалност на нарастващата инфлация и работни места, които не плащат достатъчно. Как да осигурим? Как да успеем? Социалните медии показват много хора, които изглежда са спечелили толкова много, като са направили толкова малко. Мнозина не могат да не се чудят: защо работят толкова много и все още нямат достатъчно за пенсиониране?
- Контекст: свят, който вече изглежда антиутопичен. Пандемията, политиката, войната и т.н. и т.н.
- отчаяние: всеки от тези сценарии, напразни или не, може да бъде източник на тихо отчаяние. Как можем да се справим? [Превъртете, превъртете, публикувайте селфи, превъртете] „Ти също можеш да станеш милионер на живо безгрижно“, обещава публикация.
- Мечти: и нещо, което изглежда забавно и цветно, обещава да бъде проект като никой друг. Те твърдят, че са прозрачни, устойчиви, дизайнът изглежда така, сякаш ще печели пари, други проекти го правят, и може да добавят думата „децентрализиран“ и там.
Но не всички потребители могат да кажат, че много от тези проекти имат проблеми със сигурността и биват измамени. И дори да знаят, че е рисковано, това мълчаливо социално отчаяние може така или иначе да им помогне да се набутат. И измамниците са се научили да примамват килим.
Ако екосистемата Web3 не проследи ясни граници, за да предотврати това, потребителите винаги ще играят с меч с двоен край, който в крайна сметка може да избухне по-големия балон и да се превърне в най-големите загуби досега.
Може би не само jpeg-овете се експлоатират, но и цялата човешка психика.
Източник: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/