هکری که در 23 مارس 2022، 52 میلیون دلار از پروتکل Cashio سولانا را با استفاده از یک سیستم اعتبار سنجی ناقص وثیقه برای بریدن CASH دلار دزدید، از ارائه دهندگان نقدینگی برای توجیه چرایی بازپرداخت آنها می خواهد.
نویسنده از قربانیانی که بیش از 100000 دلار از دست دادهاند خواسته است که دلیلی برای بازگرداندن وجوه خود ارائه کنند و گفت که آنها به آمریکاییها و اروپاییهای ثروتمند بازپرداخت نخواهند کرد و "قصد آنها گرفتن پول از کسانی بود که به آن نیاز ندارند، نه هکر این پیام را در اوایل صبح دوشنبه در یک تراکنش اتریوم وارد کرد. یک ارائهدهنده جامعه Cashio وبسایتی ایجاد کرد که قربانیان میتوانند با استفاده از مدل ارائهشده توسط هکر پاسخها را ارسال کنند. همه قربانیانی که کمتر از 100000 دلار از دست دادهاند بازپرداخت شدند .
حمله چگونه اتفاق افتاد؟
برای ضرب کردن توکنهای جدید $ CASH، استیبل کوینهای دارای پشتوانه USDC و تتر از ارائهدهندگان نقدینگی ، کاربر باید وثیقهای را به حساب وثیقه متعلق به Cashio واریز کند که از مقدار ضرب شده بیشتر باشد. سپرده باید یک سری آزمایش را پشت سر بگذارد تا اطمینان حاصل شود که توکن های سپرده شده با نوع حساب های پروتکل مطابقت دارند.
قرارداد هوشمند Cashio تأیید کرد که نوع توکن با حساب saber_swap.arrow مطابقت دارد، اما پارامتر "mint" را در حساب saber_swap.arrow بررسی نکرد و به ایجاد یک حساب جعلی saber_swap.arrow اجازه داد تا یک حساب جعلی crate_collateral_tokens ایجاد شود. مجاز به سپرده گذاری وثیقه بی ارزش
پس از استخراج 2 میلیارد دلار پول نقد با استفاده از وثیقه جعلی، مهاجم 52 میلیون دلار USDC و Tether برداشت و با استفاده از Paraswap و Curve، استیبل کوین ها را برای ETH معامله کرد. این حمله یک ساعت به طول انجامید. توکن $ CASH پس از حمله از نرخ دلار مورد انتظار خود به نزدیک صفر سقوط کرد.
Saber با Cashio برای تعلیق برداشت همکاری می کند
پس از هک، تیم Sabe r ، سازنده بازار خودکار زنجیرهای متقابل در Solana، تمام برداشتها را در Cashio به حالت تعلیق درآورد و با Cashio همکاری کرد تا قراردادهای هوشمند خود را پس از آن مسدود کند. بازارساز خودکار نوعی قرارداد هوشمند است که قیمت توکنهای مختلف را بر اساس فراوانی یا کمبود آنها در یک استخر نقدینگی تنظیم میکند و برای مبادلات توکن (مثلاً با مبادله ETH با BAT) برای پرداخت به ارائهدهندگان نقدینگی هزینه میگیرد.
برنامه های مالی غیرمتمرکز به افرادی بستگی دارد که پول نقد را به استخر نقدی واریز می کنند. هر چه یک توکن خاص بیشتر باشد، قیمت آن در هر مبادله کمتر خواهد بود.
تیم صابر برای اطلاعاتی که منجر به دستگیری مهاجم شود، یک میلیون دلار جایزه تعیین می کند.
در مورد این موضوع چی فکر میکنی؟ برای ما بنویس و به ما بگو !
پست Cashio Hacker از کاربران علاقهمند میخواهد که اگر میخواهند وجوهشان برگردانده شود، پرونده خود را اعلام کنند اولین بار در BeInCrypto ظاهر شد.