Хакерот кој украде 52 милиони долари од протоколот Cashio со седиште во Солана на 23 март 2022 година, со искористување на нецелосен систем за валидација на колатерал за ковање $CASH, бара оправдување од давателите на ликвидност зошто тие треба да бидат вратени.
Сторителот побарал од жртвите кои изгубиле повеќе од 100 илјади американски долари да поднесат оправдување во кое се наведува зошто треба да им се вратат средствата. велејќи дека нема да ги вратат парите на богатите Американци и Европејци и дека нивната „намера била да земаат пари од оние на кои не им требаат, а не од оние на кои им требаат“. Хакерот ја вградил оваа порака во Ethereum трансакција рано наутро во понеделник. Продавач на заедницата на Cashio постави веб-страница за жртвите да поднесуваат одговори, користејќи шаблон обезбеден од хакерот. Сите жртви губат под 100 илјади долари се вратени.
Како се случи нападот?
За создавање нови $CASH токени, стабилни коини поддржани од USDC и tether од даватели на ликвидност, корисникот треба да депонира колатерал на колатерална сметка во сопственост на Cashio што го надминува износот што е наведен. Депозитот мора да помине низа тестови за да се осигура дека депонираните токени одговараат на типот во сметките на протоколот.
Паметниот договор на Кашио проверено дека типот на токен одговара на сметката saber_swap.arrow, но не изврши проверка на параметарот „mint“ во сметката saber_swap.arrow, овозможувајќи создавање на лажна сметка saber_swap.arrow за да се дозволи лажна сметка crate_collateral_tokens што го овозможи да депонира безвреден колатерал.
Откако ископа две милијарди долари CASH користејќи лажен колатерал, напаѓачот повлекол USDC и Tether во вредност од 52 милиони долари, заменувајќи ги стабилните коини за ETH користејќи Paraswap и Curve после тоа. Нападот траел еден час. Токенот $CASH падна од предвидениот долар на речиси нула во пресрет на нападот.
Sabre работи со Cashio за да ги паузира повлекувањата
По хакирањето, тимот од Знаеr, автоматизираниот креатор на пазарот со вкрстени синџири Солана, ги паузираше сите повлекувања во Cashio и работеше со Cashio за да ги замрзне нивните паметни договори после тоа. Автоматизиран креатор на маркети е тип на паметни договори што ги регулираат цените на различни токени врз основа на нивното изобилство или недостаток во базенот на ликвидност, наплатувајќи за размена на токени (на пр. замена на ETH за БАТ) за да им платат на давателите на ликвидност.
Апликациите за децентрализирани финансии зависат од луѓето што депонираат ликвидност во базенот за ликвидност. Колку повеќе е одреден токен, толку пониска ќе биде неговата цена за замена.
Тимот на Sabre нуди награда од 1 милион долари за информации што ќе доведат до апсење на напаѓачот.
Што мислите за оваа тема? Пишете ни и кажете ни!
Општи услови
Сите информации содржани на нашата веб-страница се објавени со добра волја и само за општи информации. Секоја акција што читателот ја презема врз информациите што се наоѓаат на нашата веб-страница е строго на нивна опасност.
Извор: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/