2022年3月23日にSolanaのCashioプロトコルから5200万ドルを盗み、不完全な担保検証システムを使用して$ CASHを作成したハッカーは、流動性プロバイダーに、なぜ返済すべきかについての正当性を求めています。
著者は、10万ドル以上を失った被害者に、なぜ彼らの資金を返還すべきかを述べた正当化を提示するよう求め、彼らは裕福なアメリカ人とヨーロッパ人に払い戻しをしないだろう、そして彼らの意図はそれを必要としない人々からお金を受け取ることでした。ハッカーは月曜日の早朝にこのメッセージをイーサリアムの取引に組み込みました。Cashioコミュニティプロバイダーは、ハッカーが提供したモデルを使用して、被害者が返信を投稿できるWebサイトを作成しました。10万ドル未満の損失を被ったすべての被害者に払い戻しが行われました。
攻撃はどのように発生しましたか?
新しい$CASHトークン、USDCが支援するステーブルコイン、および流動性プロバイダーからのテザーをミントするには、ユーザーは、ミントされた金額を超える担保をCashioが所有する担保口座に預ける必要があります。デポジットは、デポジットされたトークンがプロトコルアカウントのタイプと一致することを確認するために、一連のテストに合格する必要があります。
Cashioのスマートコントラクトは、トークンタイプがsaber_swap.arrowアカウントのトークンタイプと一致することを確認しましたが、saber_swap.arrowアカウントの「mint」パラメーターをチェックしなかったため、偽のsaber_swap.arrowアカウントを作成して、偽のcrate_collateral_tokensアカウントを許可しました。価値のない担保を預けることができます。
偽の担保を使用して20億ドルの現金を鋳造した後、攻撃者はUSDCとテザーで5,200万ドルを引き出し、ParaswapとCurveを使用してステーブルコインをETHと交換しました。攻撃は1時間続きました。 $ CASHトークンは、攻撃を受けて、予想されていたドルペッグからほぼゼロに急落しました。
SabreはCashioと協力して、引き出しを一時停止します
ハッキング後、Solanaのクロスチェーン自動マーケットメーカーであるSabe rのチームは、Cashioでのすべての引き出しを一時停止し、Cashioと協力してスマートコントラクトをブロックしました。自動マーケットメーカーは、流動性プール内の豊富さまたは不足に基づいてさまざまなトークンの価格を調整する一種のスマートコントラクトであり、流動性プロバイダーに支払うためにトークン交換(たとえば、ETHをBATに交換することによって)を請求します。
分散型ファイナンスアプリケーションは、人々が現金をキャッシュプールに預けることに依存しています。特定のトークンが多いほど、交換あたりの価格は低くなります。
セイバーのチームは、攻撃者の逮捕につながる情報に対して100万ドルの報酬を提供します。
このトピックについてどう思いますか?私たちに書いて教えてください!
Cashio Hackerの投稿では、関心のあるユーザーに、資金を最初に返還したい場合は、 BeInCryptoに自分のケースを宣言するように求めています。