Web3 runtuh apabila stablecoin berasaskan Solana Cashio kehilangan nilainya selepas penyerang berpengalaman mengeksploitasinya untuk sekitar $28 juta. Apabila pertumpahan darah tarik permaidani semakin meningkat, adalah wajar membincangkan perkara yang dipertaruhkan dalam gambaran yang lebih besar.
Bacaan Berkaitan | Coinbase Membuang Pautan Cryptocurrency Selepas Ancaman 'Rug Pull'
Bagaimana Ia Berlaku
Seorang penyelidik dari Paradigm menjelaskan serangan $50 juta.
Satu hari lagi, satu lagi akaun palsu Solana mengeksploitasi. Kali ini, @CashioApp kerugian sekitar $50J (berdasarkan skim cepat). Bagaimana ini berlaku? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Mac 23, 2022
Pengguna Cashio mencetak token CASH dengan mendepositkan token Sabre USDT-USDC LP sebagai cagaran. Saber ialah Pembuat Pasaran Automatik rantaian silang untuk aset yang dipatok pada Solana.
Walaupun protokol mengesahkan akaun pemegang token, sistem pengesahan Cashio tidak lengkap kerana ian tidak memberikan akar kepercayaan. Ini membuka pintu untuk pudina yang tidak terhingga.
Pengkaji selanjutnya menjelaskan bahawa "Penyerang hanya mencipta akaun palsu sehingga ke bawah dan kemudian merantainya sehingga mereka akhirnya membuat akaun crate_collateral_tokens palsu.”
Dengan cara ini, mereka dapat menghasilkan token LP daripada kumpulan $CASH dengan sebarang token, "kemudian dibakar untuk token SaberSwap LP yang telah ditunaikan untuk 10.8M UST dan 16.4M USDC, dan baki 1.97B CASH ditukar kepada 8.6M UST dan 17 juta USDC pada SaberSwap.”
Harga $CASH merosot kepada apa-apa dan pengeksploitasi meninggalkan mesej yang menarik:
“Akaun dengan kurang 100k telah dikembalikan. semua wang lain akan didermakan untuk amal.”
Ia adalah disahkan bahawa penggodam dibayar balik sebahagian daripada dana yang dicuri untuk kumpulan wUST dan USDC. Tetapi sedekah? Kami tidak fikir begitu.
The Solana Robinhood?
Joe McGill dari TRM Labs sedang membantu mengenal pasti punca dan disahkan bahawa mereka bekerja dengan petunjuk yang disediakan oleh penulis Stefan Stankovic dari Cryptobriefing, yang mendapati bahawa pengeksploitasi itu mungkin seorang remaja lelaki berumur 16 tahun (atau lebih tepatnya katanya disini) yang menggunakan nama Ariusuha dan telah terlibat dalam pelbagai tarikan permaidani.
Penemuan terbaru menunjukkan bahawa dompet pengeksploitasi, 6D7f, dibiayai oleh dompet sWZs, yang telah sebelum ini dikaitkan kepada tarikan permaidani NFT yang disebutkan. Doodle Dragons NFT, Balloonsville NFT dan untuk Fine Folks. Dalam kes yang pertama, ia telah berjanji untuk menderma $30,000 kepada WWF dan apabila permaidani ditarik, akaun Twitternya yang kini dipadamkan menyiarkan mesej ini:
Jadi kita boleh mengandaikan apa yang akan berlaku milik Ariusuha niat amal yang terakhir.
Tetapi serangan terbaru ini mungkin terlalu besar untuk Ariusuha. Penyelidikan Stankovic mendapati bahawa Ariusuha mungkin mempunyai a profil di OpenSea, yang disambungkan kepada an Ethereum beg duit sebelum ini dibiayai oleh pertukaran terpusat FTX. Ini dengan mudah boleh membawa pihak berkuasa kepada penyerang.
Bacaan Berkaitan | Penggodam Ethereum DAO Doxxed? Bagaimana Alat Chainalysis Ini Membawa Kepada Identitinya
Bahaya Web3
Ekosistem Web3 sentiasa melihat projek-projek menjadi permaidani ditarik berulang kali. Dan ramai pengguna enggan berputus asa, tetapi mengapa?
Ramai peminat fanatik NFT/Web3 nampaknya masih muda. Mereka biasanya suka bermegah-megah. Dengan memberi tumpuan kepada golongan muda buat masa ini, mari kita lihat kemungkinan corak fenomena sosial moden ini:
- Bermegah-megah: generasi muda nampaknya mempunyai tekanan yang besar untuk cepat menjadi jutawan. Dapatkan wang dengan cepat supaya anda boleh menyiarkannya. Sama seperti aduan yang diterima industri kecantikan tentang kesan berbahayanya melalui media sosial, kita mungkin melihat kes yang sama dengan wang.
- Kebimbangan moden: sebaliknya, generasi muda menghadapi realiti mentah peningkatan inflasi dan pekerjaan yang tidak cukup gaji. Bagaimana untuk menyediakan? Bagaimana untuk berjaya? Media sosial menunjukkan ramai orang yang nampaknya telah mendapat banyak keuntungan dengan berbuat begitu sedikit. Ramai yang tertanya-tanya: mengapa bekerja terlalu banyak dan masih tidak mempunyai cukup untuk bersara?
- Context: dunia yang sudah kelihatan dystopian. Pandemik, politik, perang, etc etc etc.
- Putus asa: salah satu daripada senario ini, sia-sia atau tidak, boleh menjadi punca keputusasaan senyap. Bagaimana kita boleh hadapi? [Tatal, tatal, siarkan swafoto, tatal] “Anda juga boleh menjadi jutawan secara langsung tanpa riang,” janji sebuah siaran.
- Mimpi: dan sesuatu yang kelihatan menyeronokkan dan berwarna-warni menjanjikan projek yang tidak seperti yang lain. Mereka mendakwa telus, mampan, reka bentuk kelihatan seperti ia akan menghasilkan wang, projek lain ada, dan mereka mungkin membuang perkataan 'terdesentralisasi' di sana juga.
Tetapi tidak semua pengguna boleh memberitahu kebanyakan projek ini mempunyai masalah keselamatan dan mereka ditipu. Dan walaupun mereka tahu ia berisiko, keputusasaan sosial yang senyap itu mungkin membantu mendorong mereka dalam apa jua cara. Dan penipu telah belajar cara mengumpan permaidani.
Jika ekosistem Web3 tidak mengesan had yang jelas untuk menghalang perkara ini, pengguna akan sentiasa bermain dengan pedang dua hujung yang akhirnya mungkin meletuskan gelembung yang lebih besar dan bertukar menjadi kerugian terbesar.
Mungkin bukan sahaja jpeg yang dieksploitasi, tetapi seluruh jiwa manusia.
Sumber: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/