Hackerul care a furat 52 de milioane de dolari din protocolul Cashio de la Solana pe 23 martie 2022, prin exploatarea unui sistem incomplet de validare a garanțiilor pentru baterea USD CASH, cere justificări de la furnizorii de lichidități cu privire la motivul pentru care acestea ar trebui rambursate.
Făptuitorul a cerut victimelor care au pierdut mai mult de 100 USD să prezinte o justificare care să precizeze de ce fondurile lor ar trebui returnate, spunând că nu vor rambursa americanii și europenii bogați și că „intenția lor a fost să ia bani de la cei care nu au nevoie de ei, nu de la cei care au nevoie”. Hackerul a încorporat acest mesaj într-un Ethereum tranzacție luni dimineața devreme. Un furnizor al comunității Cashio a creat un site web pentru ca victimele să trimită răspunsuri, folosind un șablon oferit de hacker. Toate victimele pierd sub 100 USD au fost rambursate.
Cum s-a întâmplat atacul?
Pentru a bate noi jetoane $ CASH, monede stabile susținute de USDC și Tether din furnizori de lichiditate, un utilizator trebuie să depună garanții într-un cont de garanții deținut de Cashio care depășește suma bătută. Depozitul trebuie să treacă o baterie de teste pentru a se asigura că jetoanele depuse se potrivesc cu tipul din conturile protocolului.
Contractul inteligent al lui Cashio verificat că tipul de jeton se potrivea cu cel al contului saber_swap.arrow, dar nu a efectuat nicio verificare a parametrului „mint” din contul saber_swap.arrow, permițând crearea unui cont fals saber_swap.arrow pentru a permite un cont fals crate_collateral_tokens care a făcut posibilă crearea unui cont fals. a depune garanții fără valoare.
După ce a bătut două miliarde de dolari CASH folosind garanția falsă, atacatorul a retras USDC și Tether în valoare de 52 de milioane de dolari, schimbând monedele stabile cu ETH folosind Paraswap și Curve după aceea. Atacul a durat o oră. Jetonul $CASH scăzut de la dolarul intenționat la aproape zero în urma atacului.
Sabre lucrează cu Cashio pentru a întrerupe retragerile
În urma hack-ului, echipa de la știir, creatorul de piață automatizat încrucișat pe lanț suntrap, a întrerupt toate retragerile în Cashio și a lucrat cu Cashio pentru a-și îngheța contractele inteligente după aceea. Un creator de piață automat este un tip de contract inteligent care reglementează prețurile diferitelor jetoane în funcție de abundența sau deficitul acestora într-un pool de lichidități, taxând pentru schimburile de jetoane (de exemplu, schimbarea ETH cu BAT) pentru a plăti furnizorii de lichidități.
Aplicațiile de finanțare descentralizată depind de persoanele care depun lichidități într-un pool de lichidități. Cu cât un anumit token este mai mare, cu atât prețul său va fi mai mic pentru schimb.
Echipa Sabre oferă o recompensă de 1 milion de dolari pentru informațiile care au condus la arestarea atacatorului.
Ce părere aveți despre acest subiect? Scrieți-ne și spuneți-ne!
Declinare a responsabilităţii
Toate informațiile conținute pe site-ul nostru web sunt publicate cu bună-credință și numai în scopuri generale. Orice acțiune pe care cititorul o ia asupra informațiilor găsite pe site-ul nostru este strict pe propria răspundere.
Sursa: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/