Web3 падає, оскільки стейблкойн Cashio на базі Solana втратив свою вартість після того, як досвідчений зловмисник скористався ним приблизно на 28 мільйонів доларів. Оскільки кровопролиття килимів зростає, варто обговорити, що поставлено на карту в загальній картині.
Пов'язане читання | Coinbase відкидає посилання на криптовалюту після загроз «Rug Pull».
Як це сталося
Дослідник з Paradigm пояснені атака на 50 мільйонів доларів.
Інший день, ще один експлойт фальшивого облікового запису Solana. Цього разу, @CashioApp втратив близько 50 мільйонів доларів (на основі швидкого перегляду). Як це сталося? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Березня 23, 2022
Користувачі Cashio карбували токен CASH, депонуючи токени Sabre USDT-USDC LP як заставу. Sabre — це крос-ланцюжковий автоматизований маркет-мейкер для прив’язаних активів на Solana.
Хоча протокол перевіряє рахунки власників токенів, система перевірки Cashio була неповною, оскількине забезпечують корінь довіри. Це відкрило двері для нескінченного монетного двору.
Далі дослідник пояснені що "Зловмисник просто створив підроблені облікові записи до кінця, а потім прив’язав їх до кінця, поки нарешті не створив фальшивий обліковий запис crate_collateral_tokens».
Таким чином, вони змогли карбувати токени LP з пулу $CASH з будь-яким жетоном, «потім спалювали на токени SaberSwap LP, які були виведені в готівку на 10.8 млн UST і 16.4 млн USDC, а решту 1.97 млрд готівкових грошей обміняли на 8.6 млн UST і 17 млн USDC на SaberSwap».
Ціна $CASH впала нанівець, і експлуататор залишив інтригуюче повідомлення:
«Акаунт з меншими 100 тис. повернуто. всі інші гроші будуть передані на благодійність».
Це було підтверджений що хакер відшкодовано частина вкрадених коштів до пулів WUST та USDC. Але благодійність? Ми так не вважаємо.
Робінхуд Солани?
Джо Макгілл з TRM Labs допомагає ідентифікувати винуватця і підтверджений що вони працюють за наказом, наданим письменником Стефан Станкович з Cryptobriefing, який дізнався, що експлуататором міг бути 16-річний підліток (принаймні він сказав тут), який носить ім’я Аріусуха і брав участь у багатьох підтягуваннях килимів.
Останні висновки показують, що гаманець експлуататора, 6D7f, фінансувався за рахунок гаманця sWZs, що було раніше пов'язані до згаданого килимка NFT тягне. Doodle Dragons NFT, Balloonsville NFT та для чудових людей. У випадку з першим він пообіцяв пожертвувати 30,000 XNUMX доларів WWF, і коли килим стягнувся, його тепер видалений обліковий запис Twitter опублікував таке повідомлення:
Тож ми можемо припустити, що буде з Аріусухи останній благодійний намір.
Але ця остання атака могла виявитися занадто великою для Аріусухи. Дослідження Станковича показало це Аріусуха може мати a профіль на OpenSea, який пов'язаний з an Ethereum кошелек раніше фінансувалися за рахунок централізована біржа FTX. Це може легко привести владу до нападника.
Пов'язане читання | Ethereum DAO Hacker Doxxed? Як цей інструмент ланцюгового аналізу привів до його особистості
Небезпека Web3
Екосистема Web3 продовжує бачити проекти, які тягнуть килим знову і знову. І багато користувачів відмовляються від нього відмовлятися, але чому?
Багато фанатів NFT/Web3, здається, дуже молоді. Зазвичай вони люблять цим похвалитися. Наразі зосередившись на молоді, давайте подивимося на можливу закономірність цього сучасного соціального явища:
- Хвалятися: Здається, молоді покоління мають великий тиск, щоб швидко стати мільйонерами. Швидко заробляйте гроші, щоб ви могли писати про це. Подібно до скарг, які індустрія краси отримує про її небезпечні наслідки через соціальні мережі, ми можемо спостерігати подібний випадок із грошима.
- Сучасні турботи: з іншого боку, молоде покоління стикається з грубою реальністю зростання інфляції та робочих місць, які недостатньо оплачуються. Як забезпечити? Як досягти успіху? Соцмережі показують, що багато людей, здається, отримали так багато прибутку, роблячи так мало. Багато хто не може не задатися питанням: чому так багато працюєте, а на пенсію все одно не вистачає?
- Контекст: світ, який вже здається антиутопією. Пандемія, політика, війна тощо тощо.
- зневіра: будь-який із цих сценаріїв, марний чи ні, може стати джерелом тихого відчаю. Як ми можемо впоратися? [Прокрутіть, прокрутіть, опублікуйте селфі, прокрутіть] «Ти також можеш стати мільйонером безтурботно жити», — обіцяє пост.
- Мрії: і те, що здається веселим і барвистим, обіцяє стати проектом, як ніхто інший. Вони стверджують, що вони прозорі, стійкі, дизайн виглядає так, ніби це принесе гроші, інші проекти мають, і вони також можуть додати слово «децентралізований».
Але не всі користувачі можуть сказати, що багато з цих проектів мають проблеми з безпекою, і їх обманюють. І навіть якщо вони знають, що це ризиковано, тихий соціальний відчай може допомогти їм підштовхнути. А шахраї навчилися підманювати килимок.
Якщо екосистема Web3 не простежує чітких обмежень, щоб запобігти цьому, користувачі завжди будуть грати з двостороннім мечем, який може в кінцевому підсумку вибухнути більшу бульбашку і обернутися найбільшими втратами.
Можливо, експлуатується не тільки jpeg, а вся людська психіка.
Джерело: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/