Įsilaužėlis, kuris 52 m. kovo 23 d. pavogė 2022 mln. USD iš „Solana“ pagrįsto „Cashio“ protokolo, naudodamas nepilną įkaito patvirtinimo sistemą, nukaldydamas USD CASH, reikalauja iš likvidumo teikėjų paaiškinimų, kodėl turėtų būti grąžintos lėšos.
Nusikaltėlis paprašė aukų, praradusių daugiau nei 100 XNUMX USD, pateikti pagrindimą, kuriame būtų nurodyta, kodėl jų lėšos turėtų būti grąžintos. posakis kad jie negrąžins pinigų turtingiems amerikiečiams ir europiečiams ir kad jų „ketinimas buvo atimti pinigus iš tų, kuriems jų nereikia, o ne iš tų, kuriems jų nereikia“. Įsilaužėlis įdėjo šį pranešimą į Ethereum sandoris anksti pirmadienio rytą. „Cashio“ bendruomenės pardavėjas sukūrė svetainę, kurioje aukos galėtų pateikti atsakymus, naudodamas įsilaužėlio pateiktą šabloną. Visos aukos praranda mažiau nei 100 tūkst buvo kompensuoti.
Kaip įvyko išpuolis?
Nukaldinti naujus $ CASH žetonus, stabilias monetas, paremtas USDC ir Tether nuo likvidumo teikėjai, vartotojas į Cashio priklausančią užstato sąskaitą turi įnešti užstatą, kuris viršija nukaldinimo sumą. Indėlis turi išlaikyti daugybę testų, siekiant užtikrinti, kad įnešti žetonai atitiktų protokolo sąskaitose nurodytą tipą.
Išmanioji Cashio sutartis patikrinta kad prieigos rakto tipas atitiko saber_swap.arrow paskyros tipą, bet nepatikrino parametro „mint“ paskyroje saber_swap.arrow, todėl buvo galima sukurti netikrą saber_swap.arrow paskyrą, leidžiančią sukurti netikrą crate_collateral_tokens paskyrą, kuri leido tai padaryti. įnešti bevertį užstatą.
Nukaldinęs du milijardus USD CASH, naudodamas netikrą užstatą, užpuolikas atsiėmė 52 mln. USD vertės USDC ir „Tether“, o po to iškeitė stabilias monetas į ETH, naudodamas „Paraswap“ ir „Curve“. Išpuolis truko valandą. Žetonas $ CASH krito nuo numatyto dolerio susiejimo iki beveik nulio po atakos.
„Sabre“ dirba su „Cashio“, kad pristabdytų pinigų išėmimus
Po įsilaužimo komanda iš Saber, kryžminės grandinės automatizuotas rinkos formuotojas J. Solana, pristabdė visus išėmimus į „Cashio“ ir po to dirbo su „Cashio“, kad sustabdytų jų išmaniąsias sutartis. Automatizuotas rinkos formuotojas – tai išmaniųjų kontraktų tipas, reguliuojantis skirtingų žetonų kainas pagal jų gausą ar trūkumą likvidumo fonde, apmokestinant žetonų apsikeitimo sandorius (pvz., keičiant ETH į BAT), siekiant sumokėti likvidumo tiekėjams.
Decentralizuotų finansų programos priklauso nuo to, ar žmonės deponuoja likvidumą į likvidumo fondą. Kuo daugiau konkretaus žetono, tuo mažesnė jo kaina bus keičiant.
„Kardo“ komanda siūlo 1 mln. USD atlygį už informaciją, dėl kurios užpuolikas buvo sulaikytas.
Ką manote apie šią temą? Parašykite mums ir papasakokite!
Atsakomybės neigimas
Visa mūsų svetainėje esanti informacija skelbiama sąžiningai ir tik bendro pobūdžio informacijos tikslais. Bet kokie veiksmai, kuriuos skaitytojas imasi remdamasis mūsų svetainėje esančia informacija, yra griežtai jų pačių rizika.
Šaltinis: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/