L'hacker che ha rubato $ 52 milioni dal protocollo Cashio di Solana il 23 marzo 2022, sfruttando un sistema di convalida collaterale incompleto per coniare $ CASH, sta chiedendo giustificazioni ai fornitori di liquidità sul motivo per cui dovrebbero essere rimborsati.
L'autore ha chiesto alle vittime che hanno perso più di $ 100 di presentare una giustificazione in cui affermassero il motivo per cui i loro fondi dovrebbero essere restituiti, detto che non avrebbero rimborsato ricchi americani ed europei e che la loro "intenzione era quella di prendere soldi da coloro che non ne hanno bisogno, non da coloro che ne hanno". L'hacker ha incorporato questo messaggio in un Ethereum transazione lunedì mattina presto. Un fornitore della comunità Cashio ha creato un sito Web in cui le vittime possono inviare risposte, utilizzando un modello fornito dall'hacker. Tutte le vittime perdono meno di $ 100 sono stati rimborsati.
Come è avvenuto l'attacco?
Per coniare nuovi token $CASH, stablecoin supportati da USDC e Tether da fornitori di liquidità, un utente deve depositare una garanzia in un conto collaterale di proprietà di Cashio che supera l'importo coniato. Il deposito deve superare una serie di test per garantire che i token depositati corrispondano al tipo negli account del protocollo.
Il contratto intelligente di Cashio controllato che il tipo di token corrispondeva a quello dell'account saber_swap.arrow, ma non ha eseguito alcun controllo sul parametro "mint" nell'account saber_swap.arrow, consentendo la creazione di un account saber_swap.arrow falso per consentire un account crate_collateral_tokens falso che ha reso possibile depositare garanzie senza valore.
Dopo aver coniato due miliardi di $ CASH utilizzando il falso collaterale, l'attaccante ha ritirato $ 52 milioni di USDC e Tether, scambiando le stablecoin con ETH utilizzando Paraswap e Curve. L'attacco è durato un'ora. Il token $CASH crollati dal suo previsto ancoraggio del dollaro a quasi zero sulla scia dell'attacco.
Sabre collabora con Cashio per sospendere i prelievi
Dopo l'hacking, la squadra di Saperer, il market maker automatizzato cross-chain su solario, ha messo in pausa tutti i prelievi in Cashio e ha collaborato con Cashio per bloccare i loro contratti intelligenti in seguito. Un market maker automatizzato è un tipo di contratto intelligente che regola i prezzi di diversi token in base alla loro abbondanza o scarsità in un pool di liquidità, addebitando scambi di token (ad esempio scambiando ETH con BAT) per pagare i fornitori di liquidità.
Le applicazioni di finanza decentralizzata dipendono dalle persone che depositano liquidità in un pool di liquidità. Più è un token particolare, più basso sarà il suo prezzo per lo scambio.
Il team di Sabre offre una ricompensa di 1 milione di dollari per le informazioni che portano all'arresto dell'attaccante.
Cosa ne pensi di questo argomento? Scrivici e raccontaci!
Negazione di responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo di informazione generale. Qualsiasi azione intrapresa dal lettore sulle informazioni trovate sul nostro sito web è rigorosamente a proprio rischio.
Fonte: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/