52 年 23 月 2022 日,黑客利用不完整的抵押品验证系统铸造了 $CASH,从基于 Solana 的 Cashio 协议中窃取了 XNUMX 万美元,他要求流动性提供者就为什么应该退还这些资金提供理由。
肇事者要求损失超过 100 万美元的受害者提交一份理由,说明为什么应该退还他们的资金, 说 他们不会退还富裕的美国人和欧洲人,他们的“意图是从不需要的人那里拿钱,而不是从需要的人那里拿钱”。 黑客将此消息嵌入到 以太币 周一早上交易。 Cashio 社区供应商使用黑客提供的模板建立了一个网站,供受害者提交回复。 所有损失低于 100 万美元的受害者 已报销.
攻击是如何发生的?
铸造新的 $CASH 代币、由 USDC 支持的稳定币和 系链 止 流动性提供者,用户需要将超过铸造金额的抵押品存入 Cashio 拥有的抵押品账户。 存款必须通过一系列测试,以确保存放的代币与协议账户中的类型相匹配。
Cashio的智能合约 检查 令牌类型与 saber_swap.arrow 帐户的类型匹配,但未对 saber_swap.arrow 帐户中的“mint”参数进行检查,从而允许创建假 saber_swap.arrow 帐户以允许伪造 crate_collateral_tokens 帐户,从而使之成为可能存放毫无价值的抵押品。
在使用虚假抵押品铸造 52 亿美元现金后,攻击者提取了价值 XNUMX 万美元的 USDC 和 Tether,之后使用 Paraswap 和 Curve 将稳定币换成 ETH。 袭击持续了一个小时。 $CASH 代币 暴跌 在袭击发生后,其预期的盯住美元汇率几乎为零。
Sabre 与 Cashio 合作暂停提款
在黑客攻击之后,来自 萨韦r, 跨链自动化做市商 索拉纳,暂停向 Cashio 的所有提款,并与 Cashio 合作冻结他们的智能合约。 自动做市商是一种智能合约,它根据流动性池中不同代币的丰富性或稀缺性来调节不同代币的价格,收取代币互换(例如用 ETH 换成 BAT)向流动性提供者付款。
去中心化金融应用程序依赖于将流动性存入流动性池的人。 特定代币越多,其交换价格就越低。
Sabre 团队悬赏 1 万美元,以获取导致袭击者被捕的信息。
您如何看待这个问题? 写信告诉我们!
免责声明
我们网站上包含的所有信息都是真诚发布的,仅供一般参考。 读者对我们网站上的信息采取的任何措施均完全自担风险。
资料来源:https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/