Web3 vælter, da den Solana-baserede stablecoin Cashio mistede sin værdi, efter at en erfaren angriber udnyttede den for omkring $28 millioner. Efterhånden som blodsudgydelserne af tæppetræk vokser, er det værd at diskutere, hvad der er på spil i det større billede.
Relateret læsning | Coinbase kasserer kryptovaluta-links efter 'Rug Pull'-trusler
Hvordan det skete
En forsker fra Paradigm forklarede angrebet på 50 millioner dollars.
Endnu en dag, endnu en udnyttelse af en falsk konto fra Solana. Denne gang, @CashioApp tabt omkring $50 mio. (baseret på en hurtig skimning). Hvordan skete dette? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Marts 23, 2022
Cashio-brugere prægede tokenet CASH ved at deponere Sabre USDT-USDC LP-tokens som sikkerhed. Sabre er en krydskædet Automated Market Maker for fastgjorte aktiver på Solana.
Selvom protokollen validerer tokenindehaveres konti, var Cashios valideringssystem ufuldstændigt, fordi det gjordeikke give en rod af tillid. Dette åbnede døren for den uendelige mynte.
Forskeren videre forklarede at "Angriberen har bare oprettet falske konti hele vejen ned og derefter lænket det hele vejen op, indtil de endelig lavede en falsk crate_collateral_tokens-konto."
På denne måde var de i stand til at præge LP-tokens fra $CASH-puljen med et hvilket som helst token, "derefter blev de brændt for SaberSwap LP-tokens, som blev udbetalt for 10.8 mio. UST og 16.4 mio. USDC, og de resterende 1.97 mio. kontanter blev byttet til 8.6 mio. UST og 17 mio. USDC på SaberSwap."
Prisen på $CASH faldt til ingenting, og udnytteren efterlod en spændende besked:
"Konto med mindre 100 er blevet returneret. alle andre penge vil blive doneret til velgørenhed.”
Det var bekræftet at hackeren refunderet nogle af de stjålne midler til wUST- og USDC-puljer. Men velgørenhed? Det tror vi ikke.
Solana Robinhood?
Joe McGill fra TRM Labs hjælper med at identificere den skyldige og bekræftet at de arbejder med et lead leveret af forfatteren Stefan Stankovic fra Cryptobriefing, der fandt ud af, at udnytteren kunne være en 16 år gammel mandlig teenager (eller det sagde han link.), der går under navnet Ariusuha og har været involveret i flere tæppetræk.
Nylige resultater viser, at udnytterens tegnebog, 6D7f, blev finansieret af tegnebogen sWZ'er, som har været tidligere linket til de nævnte NFT tæppetræk. Doodle Dragons NFT, Balloonsville NFT og for Fine Folks. I tilfældet med førstnævnte havde den lovet at donere 30,000 $ til WWF, og da den blev trukket ud, sendte dens nu slettede Twitter-konto denne besked:
Så vi kan antage, hvad der vil ske med Ariusuhas seneste velgørende hensigt.
Men dette seneste angreb kunne have været for stort for Ariusuha. Det fandt Stankovics forskning Ariusuha har muligvis en profil på OpenSea, som er forbundet med en Ethereum pung tidligere finansieret af centraliseret udveksling FTX. Dette kan let føre myndighederne til angriberen.
Relateret læsning | Ethereum DAO Hacker Doxxed? Hvordan dette kædeanalyseværktøj førte til hans identitet
Faren ved Web3
Web3-økosystemet bliver ved med at se, at projekter bliver trukket op igen og igen. Og mange brugere nægter at give op på det, men hvorfor?
Mange NFT/Web3-fanatikere ser ud til at være meget unge. De plejer gerne at prale af det. Med fokus på de unge for nu, lad os tage et kig ind i et muligt mønster for dette moderne sociale fænomen:
- Praleri: unge generationer ser ud til at have et stort pres for hurtigt at blive millionærer. Tjen penge hurtigt, så du kan skrive om det. I lighed med de klager, skønhedsindustrien modtager om dens farlige virkninger gennem sociale medier, ser vi måske en lignende sag med penge.
- Moderne bekymringer: på den anden side står yngre generationer over for den rå realitet med stigende inflation og job, der ikke betaler nok. Hvordan yder man? Hvordan lykkes man? Sociale medier viser mange mennesker, der ser ud til at have tjent så meget på at gøre så lidt. Mange kan ikke lade være med at undre sig: hvorfor arbejde så meget og stadig ikke have nok til pension?
- Kontekst: en verden, der allerede virker dystopisk. Pandemien, politik, krig osv. osv. osv.
- Forfald: et af disse scenarier, forgæves eller ej, kunne være kilden til tavs fortvivlelse. Hvordan kan vi klare os? [Rul, rul, post en selfie, rul] "Du kan også blive millionær uden bekymringer," lover et opslag.
- Dreams: og noget, der virker sjovt og farverigt, lover at blive et projekt uden sidestykke. De hævder at være gennemsigtige, bæredygtige, designet ser ud til at tjene penge, det har andre projekter, og de kan også smide ordet 'decentraliseret' derind.
Men ikke alle brugere kan fortælle, at mange af disse projekter har sikkerhedsproblemer, og at de bliver snydt. Og selvom de ved, at det er risikabelt, kan den stille sociale fortvivlelse være med til at skubbe dem ind alligevel. Og svindlerne har lært at lokke et tæppe.
Hvis Web3-økosystemet ikke sporer klare grænser for at forhindre dette, vil brugerne altid spille med et dobbelt-endede sværd, der i sidste ende kan sprænge den større boble og blive til de største tab endnu.
Måske er det ikke kun jpegs, der bliver udnyttet, men hele menneskets psyke.
Kilde: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/