Web3 faller när det Solana-baserade stablecoinet Cashio tappade sitt värde efter att en erfaren angripare utnyttjat det för cirka 28 miljoner dollar. När blodsutgjutelsen av mattdrag växer är det värt att diskutera vad som står på spel i den större bilden.
Relaterad läsning | Coinbase kastar kryptovalutalänkar efter "Rug Pull"-hot
Hur det hände
En forskare från Paradigm förklarade attacken på 50 miljoner dollar.
En annan dag, ännu en missbruk av Solanas falska konto. Den här gången, @CashioApp förlorade runt 50 miljoner dollar (baserat på en snabb skumning). Hur hände det här? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Mars 23, 2022
Cashio-användare präglade token CASH genom att sätta in Sabre USDT-USDC LP-tokens som säkerhet. Sabre är en kedjeöverskridande Automated Market Maker för kopplade tillgångar på Solana.
Även om protokollet validerar konton för tokeninnehavare, var Cashios valideringssystem ofullständigt eftersom det gjordeger inte en rot av förtroende. Detta öppnade dörren för den oändliga myntverket.
Forskaren vidare förklarade den där "Angriparen skapade bara falska konton hela vägen ner och kedjade sedan ihop det hela vägen upp tills de slutligen skapade ett falskt crate_collateral_tokens-konto."
På så sätt kunde de prägla LP-tokens från $CASH-poolen med vilken token som helst, "sedan brändes för SaberSwap LP-tokens som utbetalades för 10.8 miljoner UST och 16.4 miljoner USDC, och de återstående 1.97 miljoner kontanterna byttes mot 8.6 miljoner UST och 17 miljoner USDC på SaberSwap."
Priset på $CASH sjönk till ingenting och exploatören lämnade ett spännande meddelande:
"Konto med mindre 100k har returnerats. alla andra pengar kommer att skänkas till välgörenhet.”
Det var bekräftade att hackaren ersättning några av de stulna medlen till wUST- och USDC-pooler. Men välgörenhet? Det tycker vi inte.
Solana Robinhood?
Joe McGill från TRM Labs hjälper till att identifiera den skyldige och bekräftade att de arbetar med en lead från skribenten Stefan Stankovic från Cryptobriefing, som fick reda på att exploatören kunde vara en 16 år gammal manlig tonåring (eller så sa han här.) som går under namnet Ariusuha och har varit involverad i flera mattdragningar.
De senaste resultaten visar att exploatörens plånbok, 6D7f, finansierades av plånboken sWZs, vilket har varit tidigare länkad till nämnda NFT matta drar. Doodle Dragons NFT, Balloonsville NFT och för Fine Folks. I fallet med den förstnämnda hade den lovat att donera 30,000 XNUMX dollar till WWF och när den drog ut, publicerade dess nu raderade Twitter-konto detta meddelande:
Så vi kan anta vad som kommer att hända med Ariusuhas senaste välgörenhetsuppsåt.
Men den här senaste attacken kan ha varit för stor för Ariusuha. Stankovics forskning fann det Ariusuha kan ha en profil på OpenSea, som är kopplad till en Ethereum plånbok tidigare finansierat av centraliserad börs FTX. Detta kan lätt leda myndigheterna till angriparen.
Relaterad läsning | Ethereum DAO Hacker Doxxed? Hur detta kedjeanalysverktyg ledde till hans identitet
Faran med webb3
Web3-ekosystemet ser hela tiden att projekt dras matta om och om igen. Och många användare vägrar ge upp det, men varför?
Många NFT/Web3-fanatiker verkar vara väldigt unga. De brukar gilla att skryta om det. Med fokus på de unga för nu, låt oss ta en titt på ett möjligt mönster för detta moderna sociala fenomen:
- Skrävel: unga generationer verkar ha ett stort tryck att snabbt bli miljonärer. Tjäna pengar snabbt så att du kan skriva om det. I likhet med de klagomål skönhetsindustrin får om dess farliga effekter via sociala medier, kan vi se ett liknande fall med pengar.
- Moderna bekymmer: å andra sidan står yngre generationer inför den råa verkligheten med ökande inflation och jobb som inte betalar tillräckligt. Hur tillhandahålla? Hur lyckas man? Sociala medier visar många människor som verkar ha tjänat så mycket på att göra så lite. Många kan inte låta bli att undra: varför jobba så mycket och ändå inte ha tillräckligt med pension?
- Bakgrund: en värld som redan verkar dystopisk. Pandemin, politik, krig, etc etc etc.
- Förlust: något av dessa scenarier, förgäves eller inte, kan vara källan till tyst förtvivlan. Hur kan vi klara oss? [Bläddra, scrolla, posta en selfie, scrolla] "Också du kan bli miljonär utan bekymmer", lovar ett inlägg.
- Dreams: och något som verkar roligt och färgglatt lovar att bli ett projekt utan dess like. De hävdar att de är transparenta, hållbara, designen ser ut som att den kommer att tjäna pengar, det har andra projekt, och de kanske slänger in ordet "decentraliserat" där också.
Men inte alla användare kan se att många av dessa projekt har säkerhetsproblem och att de blir lurade. Och även om de vet att det är riskabelt, kan den tysta sociala förtvivlan hjälpa till att pressa in dem i alla fall. Och bedragarna har lärt sig att bete en matta.
Om Web3-ekosystemet inte spårar tydliga gränser för att förhindra detta, kommer användarna alltid att leka med ett dubbelsidigt svärd som så småningom kan slå upp den större bubblan och förvandlas till de största förlusterna hittills.
Kanske är det inte bara jpeg-filer som utnyttjas, utan hela människans psyke.
Källa: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/