Nerimą keliantis dvigubas Web3 kraštas: už Solanos įsilaužimo

„Web3“ žlunga, nes Solanoje pagrįsta stabili moneta „Cashio“ prarado savo vertę, kai patyręs užpuolikas ją išnaudojo už maždaug 28 mln. Didėjant kilimėlių traukimo kraujo praliejimui, verta aptarti, kas gresia bendrame paveiksle.

Susiję skaitymai „Coinbase“ atmeta kriptovaliutų nuorodas po „kilimėlio ištraukimo“ grasinimų

Kaip tai atsitiko

Mokslininkas iš Paradigmos paaiškino, 50 milijonų dolerių ataka.

Kita diena, dar vienas Solana netikros paskyros išnaudojimas. Šį kartą, @CashioApp prarado apie 50 mln. USD (remiantis greitu nugriebimu). Kaip tai nutiko? pic.twitter.com/t7ThWL4zr1

- samczsun (@samczsun) Kovo 23, 2022

„Cashio“ vartotojai nukaldino žetoną CASH, įnešdami „Saber USDT-USDC LP“ žetonus kaip užstatą. „Sabre“ yra kelių grandinių automatizuota rinkos formuotoja, skirta susietajam turtui „Solana“.

Nors protokolas patvirtina žetonų turėtojų sąskaitas, „Cashio“ patvirtinimo sistema buvo neišsami, nesnesuteikia pasitikėjimo šaknų. Tai atvėrė duris begalinei mėtai.

Tyrėjas toliau paaiškino, kad "Užpuolikas tiesiog sukūrė netikras paskyras iki galo ir sujungė jas atgal, kol galiausiai sukūrė netikrą crate_collateral_tokens paskyrą.

Tokiu būdu jie galėjo nukaldinti LP žetonus iš $ CASH fondo su bet kokiu žetonu, „tada sudegino už SaberSwap LP žetonus, kurie buvo išgryninti už 10.8 mln. UST ir 16.4 mln. USDC, o likę 1.97 mlrd. ir 8.6 mln. USDC „SaberSwap“.

USD CASH kaina nukrito, o išnaudotojas paliko intriguojančią žinutę:

„Grąžinta sąskaita su mažiau 100 tūkst. visi kiti pinigai bus skirti labdarai“.

Tai buvo patvirtino kad įsilaužėlis atlyginta dalis pavogtų lėšų į wUST ir USDC fondus. Bet labdara? Mes taip nemanome.

Solana Robinhood?

Joe McGill iš TRM Labs padeda nustatyti kaltininką ir patvirtino kad jie dirba su rašytojo teikiamu vadovu Stefanas Stankovičius iš Cryptobriefing, kuris išsiaiškino, kad išnaudotojas gali būti 16 metų paauglys (maždaug taip jis sakė čia), kuris vadinasi Ariusuha ir dalyvavo daugybėje kilimų traukimo.

Naujausi išvados rodo, kad išnaudotojo piniginė, 6D7f, buvo finansuojama iš piniginės sWZs, kuris buvo anksčiau susietas prie minėtų NFT kilimėlių traukimų. Doodle Dragons NFT, Balloonsville NFT ir Fine Folks. Pirmojo atveju jis pažadėjo paaukoti 30,000 XNUMX USD WWF, o kai jis buvo nuplėštas, dabar ištrinta „Twitter“ paskyra paskelbė šį pranešimą:

Taigi galime manyti, kas nutiks Ariusuha paskutinis labdaros ketinimas.

Tačiau ši naujausia ataka Ariusuhai galėjo būti per didelė. Stankovičiaus tyrimas parodė, kad Ariusuha gali turėti a profilis OpenSea, kuris yra prijungtas prie an Ethereum piniginė anksčiau finansavo centralizuota keitykla FTX. Tai gali lengvai pritraukti valdžios institucijas prie užpuoliko. 

Susiję skaitymai „Ethereum DAO Hacker Doxxed“? Kaip šis grandinės analizės įrankis paskatino jo tapatybę

Web3 pavojus

Web3 ekosistema nuolat mato, kad projektai vėl ir vėl imamasi iš naujo. Ir daugelis vartotojų atsisako to atsisakyti, bet kodėl?

Daugelis NFT/Web3 fanatikų atrodo labai jauni. Paprastai jie mėgsta tuo pasigirti. Šiuo metu sutelkdami dėmesį į jaunimą, pažvelkime į galimą šio šiuolaikinio socialinio reiškinio modelį:

1. Girtis: atrodo, kad jaunosios kartos turi didelį spaudimą greitai tapti milijonieriais. Greitai užsidirbkite pinigų, kad galėtumėte skelbti apie tai. Panašiai kaip ir skundai, kuriuos grožio pramonė gauna dėl pavojingo poveikio socialinėje žiniasklaidoje, galime matyti panašų atvejį ir su pinigais.
2. Šiuolaikiniai rūpesčiai: kita vertus, jaunoji karta susiduria su neapdorota realybe – didėjančia infliacija ir nepakankamai apmokamomis darbo vietomis. Kaip suteikti? Kaip pasisekti? Socialinė žiniasklaida rodo daug žmonių, kurie, atrodo, tiek mažai uždirbo. Daugelis negali atsistebėti: kodėl tiek daug dirbama ir vis tiek neužtenka pensijai?
3. Kontekstas: pasaulis, kuris jau atrodo distopinis. Pandemija, politika, karas ir kt.
4. Neviltis: bet kuris iš šių scenarijų, tuščias ar ne, gali būti tylios nevilties šaltinis. Kaip mes galime susidoroti? [Slinkite, slinkite, paskelbkite asmenukę, slinkite] „Tu taip pat gali tapti milijonieriumi gyvai be rūpesčių“, – žadama įraše.
5. Sapnai: ir kažkas, kas atrodo linksma ir spalvinga, žada būti neprilygstamu projektu. Jie teigia, kad yra skaidrūs, tvarūs, atrodo, kad dizainas uždirbs pinigų, kiti projektai taip pat, ir jie taip pat gali įmesti žodį „decentralizuotas“.

Tačiau ne visi vartotojai gali pasakyti, kad daugelis šių projektų turi saugumo problemų ir yra apgauti. Ir net jei jie žino, kad tai rizikinga, tyli socialinė neviltis bet kokiu atveju gali padėti juos įstumti. Ir sukčiai išmoko prikibti kilimėlį.

Jei Web3 ekosistema nenustato aiškių ribų, kad to išvengtų, vartotojai visada žais su dvigaliu kardu, kuris ilgainiui gali išpūsti didesnį burbulą ir paversti didžiausiais nuostoliais.

Galbūt išnaudojami ne tik jpeg failai, bet ir visa žmogaus psichika.