Web3 падае, калі стейблкойн Cashio, заснаваны на Solana, страціў сваю каштоўнасць пасля таго, як дасведчаны зламыснік выкарыстаў яго прыкладна на 28 мільёнаў долараў. Паколькі кровапраліцце цягне дываноў расце, варта абмеркаваць, што пастаўлена на карту ў больш шырокай карціне.
Звязаныя чытанні | Coinbase адкідае спасылкі на криптовалюту пасля пагроз «выцягвання дывана».
Як гэта здарылася
Даследчык з Paradigm растлумачаны напад на 50 мільёнаў долараў.
Яшчэ адзін дзень, яшчэ адзін эксплойт падробленага акаўнта Solana. У гэты час, @CashioApp страціў каля 50 мільёнаў долараў (на аснове хуткага аблічэння). Як гэта адбылося? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Сакавік 23, 2022
Карыстальнікі Cashio адчаканілі токен CASH, унёсшы токены Sabre USDT-USDC LP у якасці закладу. Sabre - гэта міжланцуговы аўтаматызаваны маркет-мэйкер для прывязаных актываў на Solana.
Хоць пратакол правярае ўліковыя запісы ўладальнікаў токенаў, сістэма праверкі Cashio была няпоўнай, таму штоне забяспечваюць корань даверу. Гэта адкрыла дзверы для бясконцага манетнага двара.
Даследчык далей растлумачаны што «Зламыснік толькі што стварыў падробленыя ўліковыя запісы, а потым прыкаваў іх да канца, пакуль нарэшце не зрабіў падроблены ўліковы запіс crate_collateral_tokens».
Такім чынам, яны змаглі чаканіць токены LP з пула $CASH з любым токенам, «затым спалілі токены SaberSwap LP, якія былі абнаяўлены на 10.8 млн UST і 16.4 млн USDC, а астатнія 1.97 млрд НАШЫХ былі абменены на 8.6 млн UST і 17 мільёнаў USDC на SaberSwap».
Кошт $CASH зваліўся на нішто, і эксплуататар пакінуў інтрыгуючае паведамленне:
«Акаўнт, дзе менш за 100 тысяч, вернуты. усе астатнія грошы будуць перададзены на дабрачыннасць».
Гэта было пацверджаны што хакер кампенсаваны частка скрадзеных сродкаў у пулы wUST і USDC. Але дабрачыннасць? Мы так не лічым.
Салана Робінхуд?
Джо Макгіл з TRM Labs дапамагае выявіць вінаватага і пацверджаны што яны працуюць з лідам, прадстаўленым пісьменнікам Стэфан Станковіч з Cryptobriefing, які выявіў, што эксплуататарам мог быць 16-гадовы падлетак (прынамсі, ён так сказаў тут), які носіць імя Арыусуха і ўдзельнічаў у шматлікіх перацягваннях дываноў.
Апошнія дадзеныя паказваюць, што кашалёк эксплуататара, 6D7f, быў прафінансаваны кашальком SWZs, які быў раней звязаны да згаданага дывана NFT цягне. Doodle Dragons NFT, Balloonsville NFT і for Fine Folks. У выпадку з першым ён паабяцаў ахвяраваць WWF 30,000 XNUMX долараў, і калі яго пацягнулі за дыван, яго цяпер выдалены акаўнт у Твітэры апублікаваў наступнае паведамленне:
Такім чынам, можна меркаваць, што будзе з Арыусухі апошні дабрачынны намер.
Але гэтая апошняя атака магла быць занадта моцнай для Арыюсухі. Даследаванне Станковіча паказала, што У Арыусухі можа быць а профіль на OpenSea, які злучаны з ан Эфириума папернік раней фінансавалася ст цэнтралізаваная біржа FTX. Гэта можа лёгка прывесці ўлады да зламысніка.
Звязаныя чытанні | Ethereum DAO Hacker Doxxed? Як гэты інструмент Chainalysis прывёў да яго асобы
Небяспека Web3
Экасістэма Web3 пастаянна бачыць, як праекты цягнуць за сабой зноў і зноў. І многія карыстальнікі адмаўляюцца ад гэтага адмаўляцца, але чаму?
Многія фанатыкі NFT/Web3, здаецца, вельмі маладыя. Звычайна ім падабаецца хваліцца. Засяроджваючыся пакуль на моладзі, давайце зазірнем у магчымую карціну гэтага сучаснага сацыяльнага феномену:
- Хвальба: маладое пакаленне, здаецца, мае вялікі ціск, каб хутка стаць мільянерамі. Хутка зарабляйце грошы, каб вы маглі пра гэта публікаваць. Падобна скаргам, якія індустрыя прыгажосці атрымлівае праз сацыяльныя сеткі на небяспечнае ўздзеянне, мы можам назіраць падобны выпадак з грашыма.
- Сучасныя клопаты: з іншага боку, маладое пакаленне сутыкаецца з суровай рэальнасцю росту інфляцыі і недастаткова аплачаных працоўных месцаў. Як забяспечыць? Як дасягнуць поспеху? Сацыяльныя сеткі паказваюць шмат людзей, якія, здаецца, атрымалі вялікую прыбытак, зрабіўшы так мала. Многія не могуць не задацца пытаннем: навошта так шмат працаваць, а да пенсіі не хапае?
- Кантэкст: свет, які ўжо здаецца антыўтопіяй. Пандэмія, палітыка, вайна і г.д.
- Адчай: любы з гэтых сцэнарыяў, марны ці не, можа стаць крыніцай маўклівага адчаю. Як мы можам справіцца? [Пракручвайце, пракручвайце, апублікуйце сэлфі, пракручвайце] «Вы таксама можаце стаць мільянерам, жывучы бесклапотна», — абяцае паведамленне.
- сны: і нешта, што здаецца вясёлым і маляўнічым, абяцае стаць праектам, як ніхто іншы. Яны сцвярджаюць, што яны празрыстыя, устойлівыя, дызайн выглядае так, быццам ён збіраецца зарабляць грошы, іншыя праекты таксама робяць, і яны таксама могуць дадаць слова "дэцэнтралізаваны".
Але не ўсе карыстальнікі могуць сказаць, што ў многіх з гэтых праектаў ёсць праблемы з бяспекай і іх падманваюць. І нават калі яны ведаюць, што гэта рызыкоўна, гэты маўклівы сацыяльны адчай у любым выпадку можа дапамагчы ім падштурхнуць. А ашуканцы навучыліся цкаваць дыванок.
Калі экасістэма Web3 не прасочвае дакладных абмежаванняў для прадухілення гэтага, карыстальнікі заўсёды будуць гуляць з двухбаковым мячом, які ў канчатковым выніку можа лопнуць вялікую бурбалку і ператварыцца ў самыя вялікія страты.
Магчыма, эксплуатуюць не толькі jpeg, але і псіхіку чалавека ў цэлым.
Крыніца: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/