Ang hacker na nagnakaw ng $52M mula sa Solana-based Cashio protocol noong Marso 23, 2022, sa pamamagitan ng pagsasamantala sa isang hindi kumpletong collateral validation system para sa pag-minting ng $CASH, ay humihiling ng mga katwiran mula sa mga provider ng liquidity kung bakit sila dapat i-refund.
Hiniling ng salarin ang mga biktima na nawalan ng higit sa $100K na magsumite ng katwiran na nagsasaad kung bakit dapat ibalik ang kanilang mga pondo, kasabihan na hindi nila ibabalik ang mayayamang Amerikano at Europeo at na ang kanilang “intention ay kumuha ng pera sa mga hindi nangangailangan nito, hindi sa mga nangangailangan nito.” Ini-embed ng hacker ang mensaheng ito sa isang Ethereum transaksyon ng madaling araw ng Lunes. Nag-set up ang isang vendor ng komunidad ng Cashio ng isang website para sa mga biktima na magsumite ng mga tugon, gamit ang isang template na ibinigay ng hacker. Lahat ng biktima ay nalulugi sa ilalim ng $100K ay na-reimburse.
Paano nangyari ang pag-atake?
Upang makagawa ng mga bagong $CASH token, mga stablecoin na sinusuportahan ng USDC at Tether mula mga nagbibigay ng pagkatubig, kailangan ng user na magdeposito ng collateral sa isang collateral account na pag-aari ng Cashio na lampas sa halagang nai-minted. Ang deposito ay dapat pumasa sa isang baterya ng mga pagsubok upang matiyak na ang mga token na idineposito ay tumutugma sa uri sa mga account ng protocol.
Ang matalinong kontrata ni Cashio naka-check na ang uri ng token ay tumugma sa saber_swap.arrow account, ngunit hindi nagsagawa ng pagsusuri sa parameter na "mint" sa saber_swap.arrow account, na nagbibigay-daan sa paggawa ng pekeng saber_swap.arrow account upang payagan ang isang pekeng crate_collateral_tokens account na naging posible magdeposito ng walang kwentang collateral.
Pagkatapos mag-mint ng dalawang bilyong $CASH gamit ang pekeng collateral, binawi ng attacker ang $52M na halaga ng USDC at Tether, pinalitan ang mga stablecoin para sa ETH gamit ang Paraswap at Curve pagkatapos noon. Ang pag-atake ay tumagal ng isang oras. Ang $CASH token bumagsak mula sa inilaan nitong dollar peg hanggang sa halos zero sa kalagayan ng pag-atake.
Nakikipagtulungan si Saber sa Cashio para i-pause ang mga withdrawal
Kasunod ng hack, ang koponan mula sa Saber, ang cross-chain automated market maker sa Solana, na-pause ang lahat ng mga withdrawal sa Cashio at nakipagtulungan sa Cashio upang i-freeze ang kanilang mga smart contract pagkatapos noon. Ang isang automated market maker ay isang uri ng matalinong kontrata na kumokontrol sa mga presyo ng iba't ibang mga token batay sa kanilang kasaganaan o kakulangan sa isang liquidity pool, na naniningil para sa mga token swaps (hal. pagpapalit ng ETH para sa BAT) upang magbayad ng mga provider ng liquidity.
Ang mga aplikasyon ng Desentralisadong Pananalapi ay nakadepende sa mga taong nagdedeposito ng liquidity sa isang liquidity pool. Kung mas marami ang isang partikular na token, mas mababa ang presyo nito para sa pagpapalit.
Ang koponan ng Saber ay nag-aalok ng $1M na reward para sa impormasyon na humahantong sa pag-aresto sa umaatake.
Ano sa palagay mo ang paksang ito? Sumulat sa amin at sabihin sa amin!
Pagtanggi sa pananagutan
Ang lahat ng impormasyon na nilalaman sa aming website ay nai-publish sa mabuting pananampalataya at para sa pangkalahatang mga layunin ng impormasyon lamang. Anumang pagkilos na gagawin ng mambabasa sa impormasyong matatagpuan sa aming website ay mahigpit na nasa kanilang sariling peligro.
Pinagmulan: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/