L'hacker che ha rubato $ 52 milioni dal protocollo Cashio di Solana il 23 marzo 2022, sfruttando un sistema di convalida collaterale incompleto per coniare $ CASH, sta chiedendo giustificazioni ai fornitori di liquidità sul motivo per cui dovrebbero essere rimborsati.
L'autore ha chiesto alle vittime che hanno perso più di $ 100.000 di presentare una giustificazione affermando il motivo per cui i loro fondi dovrebbero essere restituiti, dicendo che non avrebbero rimborsato i ricchi americani ed europei e che la loro "intenzione era quella di prendere denaro da coloro che non ne hanno bisogno, non da quelli che lo fanno”. L'hacker ha incorporato questo messaggio in una transazione di Ethereum lunedì mattina presto. Un fornitore della comunità Cashio ha creato un sito Web in cui le vittime possono inviare risposte, utilizzando un modello fornito dall'hacker. Tutte le vittime che hanno perso meno di $ 100.000 sono state rimborsate .
Come è avvenuto l'attacco?
Per coniare nuovi token $CASH, stablecoin supportati da USDC e Tether da fornitori di liquidità , un utente deve depositare una garanzia in un conto collaterale di proprietà di Cashio che superi l'importo coniato. Il deposito deve superare una serie di test per garantire che i token depositati corrispondano al tipo negli account del protocollo.
Lo smart contract di Cashio ha verificato che il tipo di token corrispondesse a quello dell'account saber_swap.arrow, ma non ha eseguito alcun controllo sul parametro "mint" nell'account saber_swap.arrow, consentendo la creazione di un account saber_swap.arrow falso per consentire un account crate_collateral_tokens falso che ha permesso di depositare garanzie senza valore.
Dopo aver coniato due miliardi di $ CASH utilizzando il falso collaterale, l'attaccante ha ritirato $ 52 milioni di USDC e Tether, scambiando le stablecoin con ETH utilizzando Paraswap e Curve. L'attacco è durato un'ora. Il token $CASH è precipitato dal suo previsto ancoraggio al dollaro a quasi zero sulla scia dell'attacco.
Sabre collabora con Cashio per sospendere i prelievi
Dopo l'hacking, il team di Sabe r , il market maker automatizzato a catena incrociata su Solana, ha sospeso tutti i prelievi in Cashio e ha lavorato con Cashio per bloccare i propri contratti intelligenti in seguito. Un market maker automatizzato è un tipo di contratto intelligente che regola i prezzi di diversi token in base alla loro abbondanza o scarsità in un pool di liquidità, addebitando scambi di token (ad esempio scambiando ETH con BAT) per pagare i fornitori di liquidità.
Le applicazioni di finanza decentralizzata dipendono dalle persone che depositano liquidità in un pool di liquidità. Più è un token particolare, più basso sarà il suo prezzo per lo scambio.
Il team di Sabre offre una ricompensa di 1 milione di dollari per le informazioni che portano all'arresto dell'attaccante.
Cosa ne pensi di questo argomento? Scrivici e raccontaci !
Il post Cashio Hacker chiede agli utenti interessati di dichiarare il loro caso se vogliono che i loro fondi vengano restituiti è apparso per la prima volta su BeInCrypto .