Хакер, который 52 марта 23 года украл 2022 миллиона долларов из протокола Cashio в Солане, используя неполную систему проверки залога для чеканки долларов CASH, требует от поставщиков ликвидности обоснования того, почему они должны быть возмещены.
Преступник просил жертв, которые потеряли более 100 тысяч долларов, представить обоснование, объясняющее, почему их средства должны быть возвращены. поговорка что они не будут возвращать деньги богатым американцам и европейцам и что их «намерение состояло в том, чтобы брать деньги у тех, кто в них не нуждается, а не у тех, кто в них нуждается». Хакер внедрил это сообщение в Эфириум сделка рано утром в понедельник. Поставщик сообщества Cashio создал веб-сайт, на котором жертвы могли отправлять ответы, используя шаблон, предоставленный хакером. Все жертвы потеряли менее 100 тысяч долларов были возмещены.
Как произошла атака?
Для чеканки новых токенов $CASH, стейблкоинов, поддерживаемых USDC и Tether от провайдеры ликвидности, пользователь должен внести залог на залоговый счет, принадлежащий Cashio, который превышает отчеканенную сумму. Депозит должен пройти серию тестов, чтобы убедиться, что депонированные токены соответствуют типу в учетных записях протокола.
Смарт-контракт Cashio проверил что тип токена соответствует типу учетной записи saber_swap.arrow, но не выполняется проверка параметра «mint» в учетной записи saber_swap.arrow, что позволяет создать фальшивую учетную запись saber_swap.arrow, чтобы разрешить фальшивую учетную запись crate_collateral_tokens, которая сделала это возможным. внести бесполезный залог.
После чеканки двух миллиардов долларов наличными с использованием фальшивого залога злоумышленник вывел USDC и Tether на сумму 52 миллиона долларов, после чего обменял стейблкоины на ETH с помощью Paraswap и Curve. Атака длилась час. Токен $CASH резко упали от предполагаемой привязки к доллару почти до нуля после атаки.
Sabre работает с Cashio, чтобы приостановить снятие средств
После взлома команда из вы знаетеr, кроссчейн автоматизированный маркет-мейкер на Solana, приостановил все выводы в Cashio и работал с Cashio, чтобы после этого заморозить их смарт-контракты. Автоматизированный маркет-мейкер — это тип смарт-контракта, который регулирует цены на различные токены в зависимости от их изобилия или дефицита в пуле ликвидности, взимая плату за обмен токенов (например, обмен ETH на BAT) для оплаты поставщикам ликвидности.
Приложения децентрализованных финансов зависят от людей, вносящих ликвидность в пул ликвидности. Чем больше конкретный токен, тем ниже будет его цена при обмене.
Команда Sabre предлагает награду в 1 миллион долларов за информацию, которая поможет арестовать нападавшего.
Что вы думаете по этому поводу? Напишите нам и расскажите!
Отказ от ответственности
Вся информация, содержащаяся на нашем веб-сайте, публикуется добросовестно и только для общих информационных целей. Любые действия, которые читатель предпринимает в отношении информации, размещенной на нашем веб-сайте, совершаются исключительно на свой страх и риск.
Источник: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/