Hackeren, der stjal $52M fra den Solana-baserede Cashio-protokol den 23. marts 2022 ved at udnytte et ufuldstændigt sikkerhedsgodkendelsessystem til at præge $CASH, kræver begrundelser fra likviditetsudbydere for, hvorfor de skal refunderes.
Gerningsmanden anmodede ofre, der mistede mere end 100 USD, om at indsende en begrundelse for, hvorfor deres midler skulle returneres, siger at de ikke ville refundere velhavende amerikanere og europæere, og at deres "hensigt var at tage penge fra dem, der ikke har brug for dem, ikke fra dem, der gør." Hackeren indlejrede denne besked i en Ethereum handel tidligt mandag morgen. En Cashio-fællesskabsleverandør har oprettet et websted, hvor ofrene kan indsende svar ved hjælp af en skabelon leveret af hackeren. Alle ofre taber under $100 er blevet refunderet.
Hvordan skete angrebet?
For at præge nye $CASH tokens, stablecoins støttet af USDC og Tether fra udbydere af likviditet, skal en bruger indsætte sikkerhed på en sikkerhedskonto ejet af Cashio, der overstiger det prægede beløb. Indbetalingen skal bestå et batteri af tests for at sikre, at de indsatte poletter matcher typen i protokollens konti.
Cashios smarte kontrakt afkrydset at token-typen matchede den for saber_swap.arrow-kontoen, men udførte ingen kontrol af "mint"-parameteren i saber_swap.arrow-kontoen, hvilket muliggjorde oprettelsen af en falsk saber_swap.arrow-konto for at tillade en falsk crate_collateral_tokens-konto, der gjorde det muligt at stille værdiløs sikkerhed.
Efter at have præget to milliarder $CASH ved hjælp af den falske sikkerhed, hævede angriberen USDC og Tether til en værdi af 52 millioner dollars, og byttede derefter stablecoins til ETH ved hjælp af Paraswap og Curve. Angrebet varede en time. $CASH token styrtdykkede fra dens tilsigtede dollarbinding til næsten nul i kølvandet på angrebet.
Sabre arbejder sammen med Cashio for at sætte udbetalinger på pause
Efter hacket har holdet fra du vedr, den cross-chain automated market maker på Solana, satte alle udbetalinger på pause i Cashio og arbejdede sammen med Cashio for at fryse deres smarte kontrakter efter det. En automatiseret market maker er en type smart kontrakt, der regulerer priserne på forskellige tokens baseret på deres overflod eller knaphed i en likviditetspulje, der opkræver token swaps (f.eks. bytte ETH til BAT) for at betale likviditetsudbydere.
Decentraliserede finansapplikationer afhænger af, at folk indskyder likviditet i en likviditetspulje. Jo mere af et bestemt token, jo lavere vil prisen være for at bytte.
Sabre-holdet tilbyder en belønning på $1 mio. for information, der fører til angriberens anholdelse.
Hvad synes du om dette emne? Skriv til os og fortæl os!
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/