Хакер, який 52 березня 23 року вкрав 2022 мільйони доларів з протоколу Cashio на базі Солана, використовуючи неповну систему перевірки застави для карбування $CASH, вимагає від постачальників ліквідності обґрунтування, чому вони мають бути повернуті.
Зловмисник попросив жертв, які втратили понад 100 тис. доларів США, надати обґрунтування, чому їх кошти мають бути повернуті, приказка що вони не повертатимуть заможним американцям та європейцям і що їх «намір полягав у тому, щоб брати гроші у тих, кому вони не потрібні, а не у тих, кому вони потрібні». Хакер вставив це повідомлення в файл Ethereum транзакція рано вранці понеділка. Постачальник спільноти Cashio створив веб-сайт, щоб жертви могли надсилати відповіді, використовуючи шаблон, наданий хакером. Усі жертви втратили менше 100 тисяч доларів були відшкодовані.
Як стався напад?
Випускати нові токени $CASH, стейблкоіни за підтримки USDC і прив'язь від постачальники ліквідності, користувачу потрібно внести заставу на рахунок застави, що належить Cashio, що перевищує суму, що викарбувана. Депозит повинен пройти ряд тестів, щоб переконатися, що внесені токени відповідають типу в рахунках протоколу.
Розумний контракт Cashio перевірено що тип токена відповідав типу облікового запису saber_swap.arrow, але не виконував перевірку параметра «mint» в обліковому записі saber_swap.arrow, що дозволило створити підроблений обліковий запис saber_swap.arrow, щоб дозволити підроблений обліковий запис crate_collateral_tokens, що зробило можливим внести безцінну заставу.
Після карбування двох мільярдів доларів готівкою з використанням підробленої застави зловмисник вилучив USDC і Tether на суму 52 мільйони доларів, після чого обміняв стейблкоіни на ETH за допомогою Paraswap і Curve. Напад тривав годину. Токен $CASH впав від наміченої прив’язки до долара майже до нуля після нападу.
Sabre працює з Cashio, щоб призупинити зняття коштів
Після злому команда з Знаєr, крос-ланцюговий автоматизований маркет-мейкер Солана, призупинив усі виведення коштів у Cashio та працював із Cashio, щоб після цього заморозити їхні смарт-контракти. Автоматизований маркет-мейкер — це тип смарт-контракту, який регулює ціни на різні токени на основі їхньої кількості або дефіциту в пулі ліквідності, стягуючи плату за своп токенів (наприклад, обмін ETH на BAT) для оплати постачальникам ліквідності.
Децентралізовані фінансові програми залежать від людей, які вкладають ліквідність у пул ліквідності. Чим більше конкретного токена, тим нижчою буде його ціна за обмін.
Команда Sabre пропонує винагороду в 1 мільйон доларів за інформацію, яка призведе до арешту зловмисника.
Що ви думаєте на цю тему? Напишіть нам і розкажіть!
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/