52 年 23 月 2022 日,駭客利用不完整的抵押品驗證系統鑄造 $CASH,從基於 Solana 的 Cashio 協議竊取了 XNUMX 萬美元,並要求流動性提供者給出理由,說明為何應退款。
肇事者要求損失超過 100 萬美元的受害者提交理由,說明為何應退還其資金, 話 他們不會退還富有的美國人和歐洲人,他們的“意圖是從不需要的人那裡拿錢,而不是從需要的人那裡拿錢。” 駭客將此訊息嵌入到 以太幣 週一早上交易。 Cashio 社群供應商使用駭客提供的範本建立了一個網站,讓受害者提交回應。 所有受害者損失均低於 100 萬美元 已報銷.
攻擊是如何發生的?
鑄造新的 $CASH 代幣、由 USDC 支持的穩定幣以及 Tether 流動性提供者,使用者需要將超過鑄造數量的抵押品存入 Cashio 擁有的抵押品帳戶中。 存款必須通過一系列測試,以確保存入的代幣與協議帳戶中的類型相符。
Cashio的智能合約 檢查 代幣類型與saber_swap.arrow 帳戶的類型相匹配,但未對saber_swap.arrow 帳戶中的“mint”參數進行檢查,從而能夠創建假saber_swap.arrow 帳戶,從而允許假crate_collateral_tokens 帳戶,從而使之成為可能存入毫無價值的抵押品。
在使用虛假抵押品鑄造了 52 億美元現金後,攻擊者提取了價值 XNUMX 萬美元的 USDC 和 Tether,然後使用 Paraswap 和 Curve 將穩定幣兌換成 ETH。 襲擊持續了一個小時。 $CASH 代幣 暴跌 襲擊發生後,其預期的與美元掛鉤的匯率幾乎為零。
Sabre 與 Cashio 合作暫停提款
駭客攻擊後,該團隊從 知道r,跨鏈自動化做市商 索拉納,暫停了所有對 Cashio 的提款,並與 Cashio 合作凍結了他們的智能合約。 自動做市商是一種智慧合約,它根據流動性池中的豐富或稀缺來調節不同代幣的價格,收取代幣互換費用(例如將 ETH 換成 BAT)以支付流動性提供者。
去中心化金融應用程式依賴人們將流動性存入流動性池。 特定代幣越多,其交換價格就越低。
Sabre 團隊懸賞 1 萬美元,獎勵提供有助於逮捕攻擊者的信息。
您如何看待這個問題? 寫信告訴我們!
免責聲明
我們網站上包含的所有信息均出於善意發布,僅供一般參考。 讀者對我們網站上的信息採取的任何措施均完全自擔風險。
來源:https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/