Web3 crolla quando la stablecoin Cashio con sede a Solana ha perso il suo valore dopo che un hacker esperto l'ha sfruttata per circa $ 28 milioni. Man mano che lo spargimento di sangue delle tirate da tappeto cresce, vale la pena discutere della posta in gioco nel quadro più ampio.
Lettura correlata | Coinbase scarta i collegamenti di criptovaluta dopo le minacce "Rug Pull".
Come è successo
Un ricercatore di Paradigm ha spiegato l'attacco da 50 milioni di dollari.
Un altro giorno, un altro exploit dell'account falso di Solana. Questa volta, @CashioApp ha perso circa $ 50 milioni (basato su una rapida scrematura). Come è successo? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) 23 Marzo 2022
Gli utenti di Cashio hanno coniato il token CASH depositando i token Sabre USDT-USDC LP come garanzia. Sabre è un Market Maker automatizzato cross-chain per asset ancorati su Solana.
Sebbene il protocollo convalidi i conti dei possessori di token, il sistema di convalida di Cashio era incompleto perché lo facevanon fornire una radice di fiducia. Questo ha aperto le porte alla menta infinita.
Il ricercatore ulteriormente ha spiegato quella "L'attaccante ha appena creato account falsi fino in fondo e poi l'ha incatenato fino a quando non ha finalmente creato un account crate_collateral_tokens falso".
In questo modo, sono stati in grado di coniare token LP dal pool $CASH con qualsiasi token, "quindi masterizzati per token LP SaberSwap che sono stati incassati per 10.8M UST e 16.4M USDC, e i restanti 1.97B CASH sono stati scambiati con 8.6M UST e 17 milioni di USDC su SaberSwap."
Il prezzo di $CASH è sceso a zero e lo sfruttatore ha lasciato un messaggio intrigante:
“L'account con meno 100 è stato restituito. tutti gli altri soldi saranno devoluti in beneficenza”.
Era confermato che l'hacker rimborsato alcuni dei fondi rubati ai pool di wUST e USDC. Ma la carità? Non la pensiamo così.
Il Robinhood di Solana?
Joe McGill di TRM Labs sta aiutando a identificare il colpevole e confermato che stanno lavorando con un vantaggio fornito dallo scrittore Stefan Stankovic di Cryptobriefing, che ha scoperto che lo sfruttatore potrebbe essere un adolescente maschio di 16 anni (o almeno così ha detto qui) che si chiama Ariusuha ed è stato coinvolto in più rug-pulls.
Recenti scoperte mostrano che il portafoglio dello sfruttatore, 6D7f, è stato finanziato dal portafoglio sWZ, Che è stata precedentemente collegato ai citati tappetini NFT. Doodle Dragons NFT, Balloonsville NFT e per la gente raffinata. Nel caso del primo, aveva promesso di donare $ 30,000 al WWF e quando il tappeto è stato ritirato, il suo account Twitter ora cancellato ha pubblicato questo messaggio:
Quindi possiamo supporre cosa accadrà quello di Ariusuha ultima intenzione caritatevole.
Ma questo ultimo attacco potrebbe essere stato troppo grande per Ariusuha. La ricerca di Stankovic lo ha scoperto Ariusuha potrebbe avere un profilo su OpenSea, che è collegato ad un Ethereum portafoglio precedentemente finanziato dal scambio centralizzato FTX. Questo potrebbe facilmente portare le autorità all'attaccante.
Lettura correlata | Ethereum DAO Hacker Doxxed? Come questo strumento di analisi della catena ha portato alla sua identità
Il pericolo del Web3
L'ecosistema Web3 continua a vedere i progetti essere tirati indietro più e più volte. E molti utenti si rifiutano di rinunciarvi, ma perché?
Molti fanatici di NFT/Web3 sembrano essere molto giovani. Di solito amano vantarsene. Concentrandoci per ora sui giovani, diamo un'occhiata a un possibile modello di questo moderno fenomeno sociale:
- Vantarsi: le giovani generazioni sembrano avere una forte pressione per diventare rapidamente milionari. Guadagna velocemente in modo da poter postare su di esso. Simile alle lamentele che l'industria della bellezza riceve sui suoi effetti pericolosi attraverso i social media, potremmo assistere a un caso simile con il denaro.
- Preoccupazioni moderne: d'altra parte, le generazioni più giovani affrontano la cruda realtà dell'aumento dell'inflazione e dei posti di lavoro che non pagano abbastanza. Come fornire? Come avere successo? I social media mostrano molte persone che sembrano aver tratto così tanto profitto facendo così poco. Molti non possono fare a meno di chiedersi: perché lavorare così tanto e ancora non hanno abbastanza per la pensione?
- Background: un mondo che sembra già distopico. La pandemia, la politica, la guerra, etc etc etc.
- Disperazione: uno di questi scenari, vano o meno, potrebbe essere fonte di silenziosa disperazione. Come possiamo farcela? [Scorri, scorri, pubblica un selfie, scorri] "Anche tu puoi diventare un milionario vivere spensierato", promette un post.
- Sogni: e qualcosa che sembra divertente e colorato promette di essere un progetto come nessun altro. Affermano di essere trasparenti, sostenibili, il design sembra destinato a fare soldi, altri progetti lo hanno fatto e potrebbero inserire anche la parola "decentralizzato".
Ma non tutti gli utenti possono dire che molti di questi progetti hanno problemi di sicurezza e vengono truffati. E anche se sanno che è rischioso, quella silenziosa disperazione sociale potrebbe in qualche modo aiutarli a spingerli dentro. E i truffatori hanno imparato come esca un tappeto.
Se l'ecosistema Web3 non traccia limiti chiari per impedirlo, gli utenti giocheranno sempre con un'arma a doppio attacco che potrebbe alla fine far scoppiare la bolla più grande e trasformarsi nelle maggiori perdite finora.
Forse non sono solo i jpeg ad essere sfruttati, ma l'intera psiche umana.
Fonte: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/