52 жылдың 23 наурызында Solana негізіндегі Cashio хаттамасынан $CASH алу үшін толық емес кепілді тексеру жүйесін пайдалану арқылы $2022 миллион ұрлаған хакер өтімділік провайдерлерінен неліктен қайтарылуы керектігі туралы негіздемелерді талап етеді.
Қылмыскер 100 мың доллардан астам шығынға ұшыраған жәбірленушілерден олардың қаражатын неліктен қайтару керектігін дәлелдеуді сұрады, Дейді олар бай американдықтар мен еуропалықтарға ақшаны қайтармайтынын және олардың «ақшаны қажет ететіндерден емес, қажет еместерден алу ниеті» екенін айтты. Хакер бұл хабарды ендірілген Ethereum транзакция дүйсенбі күні таңертең ерте. Cashio қауымдастығының сатушысы хакер ұсынған үлгіні пайдаланып, жәбірленушілерге жауаптар жіберу үшін веб-сайт орнатты. Барлық құрбандар 100 мың доллардан аз шығынға ұшырады өтелді.
Шабуыл қалай болды?
Жаңа $CASH таңбалауыштарын, USDC қолдайтын стабилкоиндарды және Tether -дан өтімділікті жеткізушілер, пайдаланушы Cashio иелігіндегі кепілдік шотына сомадан асатын кепілді салуы керек. Депозит депозитке салынған токендердің хаттама шоттарының түріне сәйкес келетініне көз жеткізу үшін сынақтар батареясынан өтуі керек.
Кэшионың ақылды келісімшарты тексерілді таңбалауыш түрі saber_swap.arrow тіркелгісіне сәйкес келетінін, бірақ saber_swap.arrow тіркелгісіндегі "mint" параметрін тексеруді орындамағанын, бұл жалған crate_collateral_tokens тіркелгісіне рұқсат беру үшін жалған saber_swap.arrow тіркелгісін жасауға мүмкіндік береді. құнсыз кепілді сақтауға.
Жалған кепілді пайдалана отырып, екі миллиард доллар CASH соққаннан кейін, шабуылдаушы Paraswap және Curve арқылы ETH-ге тұрақты коиндарды ауыстырып, 52 миллион долларлық USDC және Tether-ті алып тастады. Шабуыл бір сағатқа созылды. $CASH белгісі төмендеді шабуылдан кейін болжанған доллар бағамынан дерлік нөлге дейін.
Сабер ақшаны алуды кідірту үшін Cashio-мен жұмыс істейді
Бұзылғаннан кейін команда Сабеr, кросс-тізбекті автоматтандырылған маркет-мейкер қосулы Солана, Cashio-ға барлық ақша алуды тоқтатты және одан кейін олардың смарт келісімшарттарын тоқтату үшін Cashio-мен жұмыс істеді. Автоматтандырылған маркет-мейкер өтімділік пулындағы әртүрлі токендердің көптігі немесе тапшылығы негізінде олардың бағасын реттейтін, өтімділік провайдерлеріне төлем жасау үшін токендерді своп (мысалы, BAT үшін ETH своп) үшін ақы алатын смарт келісімшарт түрі болып табылады.
Орталықтандырылмаған қаржы қолданбалары өтімділікті өтімділік пулына салатын адамдарға байланысты. Белгілі бір белгі неғұрлым көп болса, оның бағасы свопинг үшін соғұрлым төмен болады.
Saber командасы шабуылдаушыны ұстауға көмектесетін ақпарат үшін 1 миллион доллар сыйақы ұсынады.
Бұл тақырып туралы не ойлайсыз? Бізге жазыңыз және айтыңыз!
Жауапкершіліктен бас тарту
Біздің веб-сайтта қамтылған барлық ақпарат адал ниетпен және жалпы ақпараттандыру мақсатында ғана жарияланады. Оқырман біздің веб-сайтымыздағы ақпаратты қабылдаған кез-келген іс-әрекет қатерлі түрде өздеріне байланысты.
Дереккөз: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/