Penggodam yang mencuri $52J daripada protokol Cashio yang berpangkalan di Solana pada 23 Mac 2022, dengan mengeksploitasi sistem pengesahan cagaran yang tidak lengkap untuk mencetak $CASH, menuntut justifikasi daripada penyedia kecairan tentang sebab mereka harus dibayar balik.
Pelaku meminta mangsa yang kehilangan lebih daripada $100K untuk mengemukakan justifikasi yang menyatakan mengapa dana mereka harus dikembalikan, berkata bahawa mereka tidak akan membayar balik orang kaya Amerika dan Eropah dan bahawa "niat mereka adalah untuk mengambil wang daripada mereka yang tidak memerlukannya, bukan daripada mereka yang memerlukannya." Penggodam membenamkan mesej ini dalam Ethereum transaksi awal pagi Isnin. Vendor komuniti Cashio menyediakan tapak web untuk mangsa menyerahkan respons, menggunakan templat yang disediakan oleh penggodam. Semua mangsa kerugian di bawah $100K telah dibayar balik.
Bagaimana serangan berlaku?
Untuk menghasilkan token $CASH baharu, stablecoin yang disokong oleh USDC dan Menambat dari penyedia kecairan, pengguna perlu mendepositkan cagaran ke dalam akaun cagaran yang dimiliki oleh Cashio yang melebihi jumlah yang dicetak. Deposit mesti lulus beberapa ujian untuk memastikan token yang didepositkan sepadan dengan jenis dalam akaun protokol.
Kontrak pintar Cashio diperiksa bahawa jenis token sepadan dengan akaun saber_swap.arrow, tetapi tidak melakukan semakan pada parameter "mint" dalam akaun saber_swap.arrow, membolehkan penciptaan akaun saber_swap.arrow palsu untuk membenarkan akaun crate_collateral_tokens palsu yang membolehkannya untuk mendepositkan cagaran yang tidak bernilai.
Selepas mencetak dua bilion $CASH menggunakan cagaran palsu, penyerang menarik balik USDC dan Tether bernilai $52M, menukar stablecoin dengan ETH menggunakan Paraswap dan Curve selepas itu. Serangan itu berlangsung selama sejam. Token $CASH terputus daripada tambatan dolar yang dimaksudkan kepada hampir sifar selepas serangan itu.
Sabre bekerjasama dengan Cashio untuk menjeda pengeluaran
Berikutan penggodaman, pasukan dari Tahur, pembuat pasaran automatik rantaian pada Solana, menjeda semua pengeluaran ke Cashio dan bekerja dengan Cashio untuk membekukan kontrak pintar mereka selepas itu. Pembuat pasaran automatik ialah sejenis kontrak pintar yang mengawal selia harga token berbeza berdasarkan kelimpahan atau kekurangannya dalam kumpulan kecairan, mengenakan bayaran untuk pertukaran token (cth menukar ETH dengan BAT) untuk membayar penyedia kecairan.
Aplikasi Kewangan Terdesentralisasi bergantung pada orang yang mendepositkan kecairan ke dalam kumpulan kecairan. Lebih banyak token tertentu, lebih rendah harganya untuk pertukaran.
Pasukan Sabre menawarkan ganjaran $1 juta untuk maklumat yang membawa kepada penangkapan penyerang.
Apa pendapat anda tentang subjek ini? Tulis kepada kami dan beritahu kami!
Penafian
Semua maklumat yang terdapat di laman web kami diterbitkan dengan niat baik dan hanya untuk tujuan maklumat umum. Segala tindakan yang diambil oleh pembaca terhadap maklumat yang terdapat di laman web kami adalah dengan risiko mereka sendiri.
Sumber: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/