Hacker, který 52. března 23 ukradl 2022 milionů dolarů z protokolu Cashio založeném na Solaně, tím, že zneužil neúplný systém ověřování kolaterálu pro ražení hotovosti $CASH, požaduje od poskytovatelů likvidity odůvodnění, proč by měly být vráceny.
Pachatel požádal oběti, které ztratily více než 100 XNUMX $, aby předložily odůvodnění, proč by měly být jejich prostředky vráceny, rčení že nebudou refundovat bohaté Američany a Evropany a že jejich „záměrem bylo vzít peníze od těch, kteří je nepotřebují, ne od těch, kteří je potřebují“. Hacker vložil tuto zprávu do souboru Ethereum transakce v pondělí brzy ráno. Prodejce z komunity Cashio vytvořil webovou stránku pro oběti, kde mohou odesílat odpovědi pomocí šablony poskytnuté hackerem. Všechny oběti ztratily méně než 100 tisíc dolarů byly uhrazeny.
Jak k útoku došlo?
Chcete-li razit nové tokeny $CASH, stablecoiny podporované USDC a Tether od poskytovatelů likvidity, uživatel musí vložit kolaterál na účet kolaterálu vlastněný Cashio, který přesahuje raženou částku. Vklad musí projít řadou testů, aby se zajistilo, že uložené tokeny odpovídají typu na účtech protokolu.
Cashiova chytrá smlouva kontrolovány že typ tokenu se shodoval s typem tokenu účtu saber_swap.arrow, ale neprovedl žádnou kontrolu parametru „mint“ v účtu saber_swap.arrow, což umožnilo vytvoření falešného účtu saber_swap.arrow umožňující falešný účet crate_collateral_tokens, který to umožnil uložit bezcenné zajištění.
Po vyražení dvou miliard $ CASH pomocí falešného kolaterálu si útočník vybral USDC a Tether v hodnotě 52 milionů USD a poté vyměnil stablecoiny za ETH pomocí Paraswap a Curve. Útok trval hodinu. Token $CASH klesl ze zamýšleného navázání dolaru na téměř nulu po útoku.
Sabre spolupracuje s Cashio na pozastavení výběrů
Po hacku tým z Vír, cross-chain automatizovaného tvůrce trhu na Solanapozastavili všechny výběry do Cashio a poté spolupracovali s Cashio na zmrazení jejich chytrých smluv. Automatizovaný tvůrce trhu je typ chytré smlouvy, která reguluje ceny různých tokenů na základě jejich nadbytku nebo nedostatku ve fondu likvidity, přičemž účtuje swapy tokenů (např. výměna ETH za BAT) k platbě poskytovatelům likvidity.
Aplikace decentralizovaného financování závisí na lidech, kteří vkládají likviditu do fondu likvidity. Čím více konkrétního tokenu, tím nižší bude jeho cena za výměnu.
Tým Sabre nabízí odměnu 1 milion dolarů za informace vedoucí k zatčení útočníka.
Co si myslíte o tomto tématu? Napište nám a řekněte nám!
Odmítnutí odpovědnosti
Veškeré informace obsažené na našich webových stránkách jsou publikovány v dobré víře a pouze pro obecné informační účely. Jakákoli akce, kterou čtenář provede na základě informací nalezených na našich webových stránkách, je výhradně na jeho vlastní riziko.
Zdroj: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/