Peretas yang mencuri $52M dari protokol Cashio berbasis Solana pada 23 Maret 2022, dengan mengeksploitasi sistem validasi agunan yang tidak lengkap untuk mencetak $CASH, menuntut pembenaran dari penyedia likuiditas tentang mengapa mereka harus dikembalikan.
Pelaku meminta korban yang kehilangan lebih dari $100K untuk mengajukan alasan mengapa dana mereka harus dikembalikan, mengatakan bahwa mereka tidak akan mengembalikan uang orang Amerika dan Eropa yang kaya dan bahwa “niat mereka adalah untuk mengambil uang dari mereka yang tidak membutuhkannya, bukan dari mereka yang membutuhkannya.” Peretas menyematkan pesan ini di sebuah Ethereum transaksi senin pagi. Vendor komunitas Cashio membuat situs web bagi korban untuk mengirimkan tanggapan, menggunakan template yang disediakan oleh peretas. Semua korban kehilangan di bawah $100K telah diganti.
Bagaimana serangan itu terjadi?
Untuk mencetak token $CASH baru, stablecoin yang didukung oleh USDC dan Tether dari penyedia likuiditas, pengguna harus menyetorkan agunan ke rekening agunan milik Cashio yang melebihi jumlah yang dicetak. Setoran harus melewati serangkaian tes untuk memastikan bahwa token yang disetorkan cocok dengan jenis di akun protokol.
Kontrak pintar Cashio diperiksa bahwa jenis token cocok dengan akun saber_swap.arrow, tetapi tidak melakukan pemeriksaan pada parameter “mint” di akun saber_swap.arrow, memungkinkan pembuatan akun saber_swap.arrow palsu untuk memungkinkan akun crate_collateral_tokens palsu yang memungkinkan untuk menyimpan agunan yang tidak berharga.
Setelah mencetak dua miliar $CASH menggunakan agunan palsu, penyerang menarik USDC dan Tether senilai $52 juta, menukar stablecoin dengan ETH menggunakan Paraswap dan Curve setelah itu. Serangan itu berlangsung selama satu jam. Token $CASH jatuh dari pasak dolar yang dimaksudkan menjadi hampir nol setelah serangan itu.
Saber bekerja dengan Cashio untuk menjeda penarikan
Setelah peretasan, tim dari Tahur, pembuat pasar otomatis lintas rantai aktif beranda, menghentikan semua penarikan ke Cashio dan bekerja dengan Cashio untuk membekukan kontrak pintar mereka setelah itu. Pembuat pasar otomatis adalah jenis kontrak pintar yang mengatur harga token yang berbeda berdasarkan kelimpahan atau kelangkaannya dalam kumpulan likuiditas, mengenakan biaya untuk pertukaran token (misalnya menukar ETH dengan BAT) untuk membayar penyedia likuiditas.
Aplikasi Keuangan Terdesentralisasi bergantung pada orang yang mendepositokan likuiditas ke dalam kumpulan likuiditas. Semakin banyak token tertentu, semakin rendah harganya untuk ditukar.
Tim Sabre menawarkan hadiah $1 juta untuk informasi yang mengarah pada penangkapan penyerang.
Apa pendapat Anda tentang subjek ini? Tulis kepada kami dan beri tahu kami!
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/