El pirata informático que robó $ 52 millones del protocolo Cashio con sede en Solana el 23 de marzo de 2022, al explotar un sistema de validación de garantías incompleto para acuñar $ CASH, exige justificaciones de los proveedores de liquidez sobre por qué deben reembolsarse.
El perpetrador solicitó a las víctimas que perdieron más de $ 100K que presentaran una justificación que indique por qué se deben devolver sus fondos, decir que no reembolsarían a los estadounidenses y europeos ricos y que su “intención era quitarle dinero a quienes no lo necesitan, no a quienes sí lo necesitan”. El hacker insertó este mensaje en un Ethereum transacción el lunes por la mañana temprano. Un proveedor de la comunidad de Cashio creó un sitio web para que las víctimas enviaran respuestas, utilizando una plantilla proporcionada por el hacker. Todas las víctimas que pierden menos de $ 100K han sido reembolsados.
¿Cómo ocurrió el ataque?
Para acuñar nuevos tokens $CASH, monedas estables respaldadas por USDC y Tether en proveedores de liquidez, un usuario debe depositar una garantía en una cuenta de garantía propiedad de Cashio que exceda la cantidad acuñada. El depósito debe pasar una batería de pruebas para garantizar que los tokens depositados coincidan con el tipo en las cuentas del protocolo.
El contrato inteligente de Cashio comprobado que el tipo de token coincidía con el de la cuenta saber_swap.arrow, pero no realizó ninguna verificación en el parámetro "mint" en la cuenta saber_swap.arrow, lo que permitió la creación de una cuenta falsa saber_swap.arrow para permitir una cuenta falsa crate_collateral_tokens que lo hizo posible para depositar garantías sin valor.
Después de acuñar dos mil millones de dólares en EFECTIVO utilizando la garantía falsa, el atacante retiró USDC y Tether por un valor de 52 millones de dólares, y luego cambió las monedas estables por ETH utilizando Paraswap y Curve. El ataque duró una hora. El token de $ EFECTIVO cayó en picado de la fijación del dólar prevista a casi cero a raíz del ataque.
Sabre trabaja con Cashio para pausar los retiros
Tras el hackeo, el equipo de Saberr, el creador de mercado automatizado de cadena cruzada en Solana, pausó todos los retiros en Cashio y trabajó con Cashio para congelar sus contratos inteligentes después de eso. Un creador de mercado automatizado es un tipo de contrato inteligente que regula los precios de diferentes tokens en función de su abundancia o escasez en un grupo de liquidez, cobrando por intercambios de tokens (por ejemplo, intercambiando ETH por BAT) para pagar a los proveedores de liquidez.
Las aplicaciones de finanzas descentralizadas dependen de que las personas depositen liquidez en un grupo de liquidez. Cuanto más de un token en particular, menor será su precio para el intercambio.
El equipo de Sabre ofrece una recompensa de $1 millón por información que conduzca al arresto del atacante.
¿Qué opinas de este tema? Escríbenos y cuéntanos!
Observación
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
Fuente: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/