Web3 令人震驚的雙刃劍：超越 Solana 黑客攻擊

由於基於 Solana 的穩定幣 Cashio 在一名經驗豐富的攻擊者利用其價值約 3 萬美元後失去了價值，Web28 也隨之暴跌。隨著地毯式流血事件的加劇，有必要討論一下大局中的利害關係。

索拉納 — SOL 日線圖交易價格為 102 美元 | TradingView.com

它是如何發生

Paradigm 的研究員解釋 50 萬美元的攻擊。

另一天，又一個 Solana 虛假帳戶被利用。這次， @CashioApp 損失了大約 50 萬美元（根據快速瀏覽）。這怎麼發生的？ pic.twitter.com/t7ThWL4zr1
-samczsun（@samczsun） 2022 年 3 月 23 日

Cashio 用戶通過存入 Sabre USDT-USDC LP 代幣作為抵押品來鑄造代幣 CASH。 Sabre 是 Solana 上錨定資產的跨鏈自動做市商。

儘管該協議驗證了代幣持有者的賬戶，但 Cashio 的驗證系統並不完整，因為它確實不提供信任根。這為無限薄荷打開了大門。

研究人員進一步解釋那“攻擊者只是一路創建虛假賬戶，然後將其一路鏈接起來，直到他們最終創建了一個虛假的 crate_collateral_tokens 賬戶。”

通過這種方式，他們能夠使用任何代幣從$CASH 池中鑄造LP 代幣，“然後燒毀SaberSwap LP 代幣，這些代幣被兌現為10.8 萬UST 和16.4 萬USDC，剩餘的1.97B CASH 被交換為8.6 萬UST”以及 SaberSwap 上的 17 萬 USDC。”

$CASH 的價格暴跌至零，剝削者留下了一條有趣的信息：

“100萬以下的賬戶已被退回。所有其他資金將捐贈給慈善機構。”

這是確認那個黑客已報銷部分被盜資金存入 wUST 和 USDC 池。但慈善事業呢？我們不這麼認為。

索拉納羅賓漢？

TRM 實驗室的 Joe McGill 正在幫助找出罪魁禍首並確認他們正在與作者提供的線索合作來自 Cryptobriefing 的 Stefan Stankovic，他發現剝削者可能是一名 16 歲的男性青少年（或者他是這麼說的）点击這裡）的名字為 Ariusuha，參與過多次拉扯活動。

最近的調查結果表明，剝削者的錢包， 6D7f，由錢包資助西南區一直都是以前掛了到提到的 NFT 地毯拉手。 Doodle Dragons NFT、Balloonsville NFT 以及 For Fine Folks。就前者而言，它曾承諾向世界自然基金會捐贈 30,000 美元，但當它被取消時，其現已刪除的 Twitter 帳戶發布了以下消息：

所以我們可以假設會發生什麼阿留蘇哈的最新的慈善意向。

但這次最新的攻擊對於 Ariusuha 來說可能太大了。斯坦科維奇的研究發現 Ariusuha 可能有一個 OpenSea 上的個人資料，它連接到一個以太幣錢包之前由中心化交易所FTX。這很容易將當局引向攻擊者。

Web3 的危險

Web3 生態系統不斷看到項目被一次又一次地拖垮。許多用戶拒絕放棄它，但為什麼呢？

許多 NFT/Web3 狂熱者似乎都很年輕。他們通常喜歡吹噓這一點。我們先以年輕人為中心，來看看這種現代社會現象的可能模式：

吹牛： 年輕一代似乎面臨著迅速成為百萬富翁的巨大壓力。快速賺錢，以便您可以發布相關內容。與美容行業通過社交媒體收到的對其危險影響的抱怨類似，我們可能會看到類似的金錢案例。
現代人的煩惱： 另一方面，年輕一代面臨著通貨膨脹加劇和工資不足的嚴峻現實。如何提供？如何才能成功？社交媒體顯示，許多人似乎通過做很少的事情而獲得瞭如此多的利潤。許多人不禁想知道：為什麼工作這麼多，卻仍然沒有足夠的退休金？
語境： 一個看起來已經是反烏托邦的世界。流行病、政治、戰爭等等。
失望： 這兩種情況，無論是否徒勞，都可能成為沈默絕望的根源。我們該如何應對？ [滾動，滾動，發布自拍照，滾動]“你也可以成為百萬富翁，無憂無慮地生活，”帖子承諾。
夢：一些看起來有趣且豐富多彩的項目有望成為一個獨一無二的項目。他們聲稱是透明的、可持續的，設計看起來會賺錢，其他項目也能賺錢，他們也可能會在其中添加“去中心化”這個詞。

但並非所有用戶都能看出其中許多項目存在安全問題並且他們被騙了。即使他們知道這是有風險的，這種無聲的社會絕望也可能會幫助他們這麼做。騙子們已經學會瞭如何在地毯上下誘餌。

如果 Web3 生態系統沒有製定明確的限制來防止這種情況發生，用戶將永遠在玩一把雙頭劍，最終可能會戳破更大的泡沫，並造成迄今為止最大的損失。

也許被利用的不僅僅是JPEG，還有整個人類的心理。

來源：https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/