Hakeri që vodhi 52 milionë dollarë nga protokolli Cashio me bazë në Solana më 23 mars 2022, duke shfrytëzuar një sistem jo të plotë të vlefshmërisë së kolateralit për grumbullimin e $CASH, po kërkon justifikime nga ofruesit e likuiditetit se pse duhet të rimbursohen.
Autori u kërkoi viktimave që humbën më shumë se 100 mijë dollarë që të paraqesin një justifikim duke deklaruar se pse duhet të kthehen fondet e tyre, thënie se ata nuk do të rimbursonin amerikanët dhe evropianët e pasur dhe se "qëllimi i tyre ishte të merrnin para nga ata që nuk kanë nevojë për to, jo nga ata që kanë". Hakeri e futi këtë mesazh në një Ethereum transaksion të hënën herët në mëngjes. Një shitës i komunitetit Cashio krijoi një faqe interneti për viktimat për të paraqitur përgjigje, duke përdorur një shabllon të ofruar nga hakeri. Të gjitha viktimat humbasin nën 100 mijë dollarë janë rimbursuar.
Si ndodhi sulmi?
Për të krijuar argumente të reja $CASH, monedha të qëndrueshme të mbështetura nga USDC dhe Tether nga siguruesit e likuiditetit, një përdorues duhet të depozitojë kolateral në një llogari kolaterali në pronësi të Cashio që tejkalon shumën e caktuar. Depozita duhet të kalojë një bateri testesh për të siguruar që argumentet e depozituara përputhen me llojin në llogaritë e protokollit.
Kontrata e zgjuar e Cashios kontrolluar se lloji i tokenit përputhej me atë të llogarisë saber_swap.arrow, por nuk kreu asnjë kontroll në parametrin "mint" në llogarinë saber_swap.arrow, duke mundësuar krijimin e një llogarie të rreme saber_swap.arrow për të lejuar një llogari të rreme crate_collateral_tokens që e bëri të mundur për të depozituar kolateral pa vlerë.
Pasi grumbulloi dy miliardë dollarë CASH duke përdorur kolateralin e rremë, sulmuesi tërhoqi USDC dhe Tether me vlerë 52 milionë dollarë, duke shkëmbyer monedhat e qëndrueshme për ETH duke përdorur Paraswap dhe Curve pas kësaj. Sulmi zgjati një orë. Shenja $CASH rënë nga kufiri i synuar i dollarit në pothuajse zero në prag të sulmit.
Sabre punon me Cashio për të ndalur tërheqjet
Pas hakimit, ekipi nga ju e dinir, krijuesi i automatizuar i tregut me zinxhir tërthor Solana, ndërpreu të gjitha tërheqjet në Cashio dhe punoi me Cashio për të ngrirë kontratat e tyre inteligjente pas kësaj. Një krijues i automatizuar tregu është një lloj kontrate inteligjente që rregullon çmimet e tokenëve të ndryshëm bazuar në bollëkun ose mungesën e tyre në një grup likuiditeti, duke tarifuar për shkëmbime token (p.sh. shkëmbimi i ETH me BAT) për të paguar ofruesit e likuiditetit.
Aplikimet e decentralizuara të financave varen nga njerëzit që depozitojnë likuiditet në një grup likuiditeti. Sa më shumë të jetë një shenjë e veçantë, aq më i ulët do të jetë çmimi i tij për shkëmbim.
Ekipi Sabre po ofron një shpërblim prej 1 milion dollarësh për informacionin që çon në arrestimin e sulmuesit.
Çfarë mendoni për këtë temë? Na shkruani dhe na tregoni!
Mohim përgjegjësie
Të gjitha informacionet që përmbahen në faqen tonë të internetit publikohen me mirëbesim dhe vetëm për qëllime të informacionit të përgjithshëm. Çdo veprim që lexuesi ndërmerr mbi informacionin e gjetur në faqen tonë të internetit është në rrezik të vetë.
Burimi: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/