Хакер, які 52 сакавіка 23 г. выкраў 2022 мільёны долараў з пратакола Cashio, які базуецца ў Салане, выкарыстаўшы няпоўную сістэму праверкі забеспячэння для чаканкі $ CASH, патрабуе ад пастаўшчыкоў ліквіднасці абгрунтаванняў, чаму яны павінны быць вернуты.
Злачынца прасіў ахвяр, якія страцілі больш за 100 тысяч долараў, падаць абгрунтаванне, указваючы, чаму іх сродкі павінны быць вернуты, прымаўка што яны не будуць вяртаць грошы заможным амерыканцам і еўрапейцам і што іх «намер заключаўся ў тым, каб браць грошы ў тых, каму яны не патрэбныя, а не ў тых, каму яны патрэбныя». Хакер убудаваў гэтае паведамленне ў Эфириума здзелка рана раніцай у панядзелак. Пастаўшчык супольнасці Cashio стварыў вэб-сайт, на якім ахвяры маглі адпраўляць адказы, выкарыстоўваючы шаблон, прадстаўлены хакерам. Усе ахвяры страцілі менш за 100 тысяч долараў былі кампенсаваныя.
Як адбылася атака?
Каб чаканіць новыя токены $CASH, стейблкойны, забяспечаныя USDC і прывязь ад пастаўшчыкі ліквіднасці, карыстальніку неабходна ўнесці заклад на закладны рахунак, які належыць Cashio, які перавышае адчаканеную суму. Дэпазіт павінен прайсці шэраг тэстаў, каб пераканацца, што ўнесеныя токены адпавядаюць тыпу ва ўліковых запісах пратаколу.
Смарт-кантракт Cashio праверана што тып токена супадае з тыпам уліковага запісу saber_swap.arrow, але не выконваецца праверка параметра «mint» ва ўліковым запісе saber_swap.arrow, што дазваляе стварыць падроблены ўліковы запіс saber_swap.arrow, каб дазволіць падроблены ўліковы запіс crate_collateral_tokens, які зрабіў гэта магчымым унесці бескарысны заклад.
Адчаканіўшы два мільярды долараў CASH з выкарыстаннем падробленага закладу, зламыснік вывеў USDC і Tether на суму 52 мільёны долараў, пасля чаго абмяняўшы стабільныя манеты на ETH з дапамогай Paraswap і Curve. Атака працягвалася гадзіну. Токен $CASH рэзка ўпалі ад запланаванай прывязкі даляра да амаль нуля ў выніку атакі.
Sabre працуе з Cashio, каб прыпыніць зняцце сродкаў
Пасля ўзлому каманда з Saber, міжланцуговы аўтаматызаваны маркет-мейкер Салана, прыпыніў усе зняцці сродкаў у Cashio і працаваў з Cashio, каб пасля гэтага замарозіць іх смарт-кантракты. Аўтаматызаваны маркет-мейкер - гэта тып смарт-кантракту, які рэгулюе цэны на розныя токены ў залежнасці ад іх багацця або дэфіцыту ў пуле ліквіднасці, спаганяючы плату за абмен токенаў (напрыклад, абмен ETH на BAT) для аплаты пастаўшчыкам ліквіднасці.
Праграмы дэцэнтралізаванага фінансавання залежаць ад людзей, якія ўносяць ліквіднасць у пул ліквіднасці. Чым больш канкрэтнага токена, тым ніжэй будзе яго кошт для абмену.
Каманда Sabre прапануе ўзнагароду ў 1 мільён долараў за інфармацыю, якая прывядзе да арышту зламысніка.
Што вы думаеце на гэты конт? Напішыце нам і раскажыце!
адмова
Уся інфармацыя, размешчаная на нашым сайце, публікуецца добрасумленна і мае толькі агульны інфармацыйны характар. Любыя дзеянні, якія чытач ужывае з інфармацыяй, размешчанай на нашым сайце, строга на свой страх і рызыка.
Крыніца: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/