Circa $ 50 milioni sono stati derubati da un protocollo stablecoin nativo di Solana utilizzando un exploit "account falso". Questo apparentemente ha permesso all'hacker di coniare una quantità illimitata di CASH, cosa che il team dietro la stablecoin ha confessato.
- Come spiegato da samczun di Paradigm su Twitter, CashioApp richiede agli utenti di depositare garanzie per coniare più CASH, il suo token stablecoin.
- L'invocazione tra programmi (CPI) trasferisce i token dal proprio account all'account del protocollo, ma solo se entrambi gli account contengono lo stesso tipo di token. In caso contrario, il programma token rifiuterà il trasferimento.
- "Il protocollo convalida che l'account crate_collateral_tokens detiene il giusto tipo di token confrontandolo con il conto collaterale", afferma. "Verifica inoltre che l'account collaterale condivida lo stesso tipo di token dell'account saber_swap.arrow."
- Tuttavia, ha anche identificato che il campo di zecca dell'account "freccia" non viene mai convalidato. Secondo samczun, ciò ha reso prive di significato tutta la suddetta convalida e ha consentito all'hacker di creare account falsi per ogni fase del processo.
- "Poiché Cashio non ha stabilito una radice di fiducia per tutti gli account che ha utilizzato, un aggressore è stato in grado di rubare circa $ 50 milioni falsificando una catena di account falsi", ha riassunto.
- Anche Cashio ha affrontato il problema, esortando gli utenti a non coniare CONTANTI poiché ora c'era un "problema di zecca infinito". Hanno detto che avrebbero presto pubblicato un'autopsia, ma deve ancora essere pubblicata.
- Il mese scorso, anche un ponte da Ethereum a Solana è stato violato per un valore di $ 320 milioni di ETH avvolto.