Web3 jatuh karena stablecoin Cashio yang berbasis di Solana kehilangan nilainya setelah penyerang berpengalaman mengeksploitasinya dengan harga sekitar $28 juta. Saat pertumpahan darah menarik permadani tumbuh, ada baiknya mendiskusikan apa yang dipertaruhkan dalam gambaran yang lebih besar.
Bacaan Terkait | Coinbase Membuang Tautan Cryptocurrency Setelah Ancaman 'Tarik Karpet'
Cara Terjadi
Seorang peneliti dari Paradigm menjelaskan serangan $50 juta.
Suatu hari, akun palsu Solana lainnya mengeksploitasi. Kali ini, @CashioApp kehilangan sekitar $50 juta (berdasarkan skim cepat). Bagaimana ini terjadi? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) 23 Maret, 2022
Pengguna Cashio mencetak token CASH dengan menyetorkan token Saber USDT-USDC LP sebagai jaminan. Saber adalah Automated Market Maker lintas rantai untuk aset yang dipatok di Solana.
Meskipun protokol memvalidasi akun pemegang token, sistem validasi Cashio tidak lengkap karena itutidak memberikan akar kepercayaan. Ini membuka pintu untuk mint yang tak terbatas.
Peneliti selanjutnya menjelaskan bahwa "Penyerang baru saja membuat akun palsu sepenuhnya dan kemudian merantainya kembali hingga akhirnya mereka membuat akun crate_collateral_tokens palsu.”
Dengan cara ini, mereka dapat mencetak token LP dari kumpulan $CASH dengan token apa pun, “kemudian dibakar untuk token LP SaberSwap yang diuangkan seharga 10.8 juta UST dan 16.4 juta USDC, dan sisa 1.97 miliar UANG ditukar dengan 8.6 juta UST dan 17 juta USDC di SaberSwap.”
Harga $CASH turun drastis dan si pengeksploitasi meninggalkan pesan yang menarik:
“Rekening dengan kurang 100k telah dikembalikan. semua uang lainnya akan disumbangkan untuk amal.”
Itu dikonfirmasi si hacker itu diganti sebagian dari dana yang dicuri ke kumpulan wUST dan USDC. Tapi amal? Kami tidak berpikir begitu.
Solana Robinhood?
Joe McGill dari TRM Labs membantu mengidentifikasi pelakunya dan dikonfirmasi bahwa mereka bekerja dengan petunjuk yang diberikan oleh penulis Stefan Stankovic dari Cryptobriefing, yang mengetahui bahwa si pengeksploitasi bisa jadi adalah remaja laki-laki berusia 16 tahun (atau begitulah katanya di sini) yang menggunakan nama Ariusuha dan telah terlibat dalam beberapa tarikan karpet.
Temuan terbaru menunjukkan bahwa dompet pengeksploitasi, 6D7f, didanai oleh dompet sWZ, yang telah sebelumnya terkait untuk menarik karpet NFT disebutkan. Doodle Dragons NFT, Balloonsville NFT, dan untuk Orang Baik. Dalam kasus yang pertama, ia telah berjanji untuk menyumbangkan $30,000 kepada WWF dan ketika permadani ditarik, akun Twitternya yang sekarang telah dihapus memposting pesan ini:
Jadi kita bisa berasumsi apa yang akan terjadi dengan Ariusuha's niat amal terbaru.
Tapi serangan terakhir ini mungkin terlalu besar untuk Ariusuha. Penelitian Stankovic menemukan bahwa Ariusuha mungkin memiliki profil di OpenSea, yang terhubung dengan Ethereum dompet sebelumnya didanai oleh pertukaran terpusat FTX. Ini dapat dengan mudah mengarahkan pihak berwenang ke penyerang.
Bacaan Terkait | Peretas DAO Ethereum Doxxed? Bagaimana Alat Chainalysis Ini Menyebabkan Identitasnya
Bahaya Web3
Ekosistem Web3 terus melihat proyek-proyek yang ditarik berulang-ulang. Dan banyak pengguna menolak untuk menyerah, tetapi mengapa?
Banyak penggemar NFT/Web3 tampaknya masih sangat muda. Mereka biasanya suka membual tentang hal itu. Berfokus pada kaum muda untuk saat ini, mari kita intip kemungkinan pola fenomena sosial modern ini:
- Membual berlagak: generasi muda tampaknya memiliki tekanan besar untuk cepat menjadi jutawan. Hasilkan uang dengan cepat sehingga Anda dapat memposting tentang hal itu. Mirip dengan keluhan yang diterima industri kecantikan tentang efek berbahayanya melalui media sosial, kita mungkin melihat kasus serupa dengan uang.
- Kekhawatiran modern: di sisi lain, generasi muda menghadapi kenyataan mentah meningkatnya inflasi dan pekerjaan yang tidak cukup dibayar. Bagaimana cara menyediakan? Bagaimana cara agar berhasil? Media sosial menunjukkan banyak orang yang tampaknya telah mendapat banyak keuntungan dengan melakukan begitu sedikit. Banyak yang bertanya-tanya: mengapa bekerja begitu banyak dan masih belum memiliki cukup uang untuk pensiun?
- konteks: dunia yang sudah tampak dystopian. Pandemi, politik, perang, dll dll.
- gangguan: salah satu dari skenario ini, sia-sia atau tidak, bisa menjadi sumber keputusasaan yang hening. Bagaimana kita bisa mengatasinya? [Scroll, scroll, post selfie, scroll] “Kamu juga bisa menjadi jutawan dengan hidup tanpa beban,” janji sebuah postingan.
- Mimpi: dan sesuatu yang tampak menyenangkan dan penuh warna menjanjikan untuk menjadi proyek yang tiada duanya. Mereka mengklaim transparan, berkelanjutan, desainnya terlihat seperti akan menghasilkan uang, seperti yang dimiliki proyek lain, dan mereka mungkin juga memasukkan kata 'terdesentralisasi' di sana.
Tetapi tidak semua pengguna dapat mengetahui bahwa banyak dari proyek ini memiliki masalah keamanan dan mereka ditipu. Dan bahkan jika mereka tahu itu berisiko, keputusasaan sosial yang diam itu mungkin membantu mendorong mereka. Dan para penipu telah belajar bagaimana memberi umpan permadani.
Jika ekosistem Web3 tidak melacak batas yang jelas untuk mencegah hal ini, pengguna akan selalu bermain dengan pedang berujung ganda yang pada akhirnya mungkin akan meletuskan gelembung yang lebih besar dan berubah menjadi kerugian terbesar.
Mungkin bukan hanya jpeg yang dieksploitasi, tetapi seluruh jiwa manusia.
Sumber: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/