Hackaren som stal 52 miljoner dollar från det Solana-baserade Cashio-protokollet den 23 mars 2022, genom att utnyttja ett ofullständigt säkerhetsvalideringssystem för att slå $CASH, kräver motiveringar från likviditetsleverantörer om varför de ska återbetalas.
Gärningsmannen bad offren som förlorade mer än 100 XNUMX USD att lämna in en motivering som anger varför deras pengar skulle återlämnas, säger att de inte skulle återbetala rika amerikaner och européer och att deras "avsikt var att ta pengar från dem som inte behöver dem, inte från dem som gör det." Hackaren bäddade in detta meddelande i en Ethereum transaktion tidigt på måndag morgon. En Cashio-gemenskapsleverantör skapade en webbplats där offren kan skicka in svar med hjälp av en mall från hackaren. Alla offer förlorar under 100 XNUMX USD har ersatts.
Hur hände attacken?
För att prägla nya $CASH-tokens, stablecoins med stöd av USDC och Tether från likviditetsleverantörer, måste en användare sätta in säkerheter på ett säkerhetskonto som ägs av Cashio som överstiger beloppet. Insättningen måste klara ett batteri av tester för att säkerställa att de insatta polletterna matchar typen i protokollets konton.
Cashios smarta kontrakt kontrollerade att tokentypen matchade den för saber_swap.arrow-kontot, men inte gjorde någon kontroll av parametern "mint" i saber_swap.arrow-kontot, vilket möjliggjorde skapandet av ett falskt saber_swap.arrow-konto för att tillåta ett falskt crte_collateral_tokens-konto som gjorde det möjligt att sätta in värdelösa säkerheter.
Efter att ha präglat två miljarder $CASH med de falska säkerheterna, drog angriparen ut USDC och Tether till ett värde av 52 miljoner dollar, och bytte ut stabila mynt mot ETH med hjälp av Paraswap och Curve efter det. Attacken varade i en timme. $CASH token rasade från dess tilltänkta dollar-pin till nästan noll i spåren av attacken.
Sabre arbetar med Cashio för att pausa uttag
Efter hacket har laget från du vetr, den korskedjade automatiserade market maker på Solana, pausade alla uttag i Cashio och arbetade med Cashio för att frysa deras smarta kontrakt efter det. En automatiserad market maker är en typ av smart kontrakt som reglerar priserna på olika tokens baserat på deras överflöd eller brist i en likviditetspool, som tar betalt för tokenswappar (t.ex. byter ETH mot BAT) för att betala likviditetsleverantörer.
Decentraliserade finansapplikationer är beroende av att människor sätter in likviditet i en likviditetspool. Ju mer av en viss token, desto lägre blir priset för att byta.
Sabre-teamet erbjuder en belöning på $1 miljoner för information som leder till angriparens arrestering.
Vad tycker du om detta ämne? Skriv till oss och berätta!
Villkor
All information på vår webbplats publiceras i god tro och endast för allmän information. Alla åtgärder som läsaren vidtar på informationen på vår webbplats är strikt på deras egen risk.
Källa: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/