Mae’r haciwr a ddwynodd $52M o brotocol Cashio yn Solana ar Fawrth 23, 2022, trwy ecsbloetio system ddilysu cyfochrog anghyflawn ar gyfer bathu $CASH, yn mynnu cyfiawnhad gan ddarparwyr hylifedd ynghylch pam y dylid eu had-dalu.
Gofynnodd y cyflawnwr i ddioddefwyr a gollodd fwy na $100K gyflwyno cyfiawnhad yn nodi pam y dylid dychwelyd eu harian, gan ddweud na fyddent yn ad-dalu Americanwyr cyfoethog ac Ewropeaid ac mai eu “bwriad oedd cymryd arian oddi wrth y rhai nad oedd ei angen arnynt, nid oddi wrth y rhai sydd ei angen.” Mae'r haciwr fewnosod y neges hon mewn an Ethereum trafodiad yn gynnar fore Llun. Sefydlodd gwerthwr cymunedol Cashio wefan i ddioddefwyr gyflwyno ymatebion, gan ddefnyddio templed a ddarparwyd gan yr haciwr. Pob dioddefwr yn colli llai na $100K wedi cael eu had-dalu.
Sut digwyddodd yr ymosodiad?
I bathu tocynnau $CASH newydd, darnau arian sefydlog gyda chefnogaeth USDC a Tether o darparwyr hylifedd, mae angen i ddefnyddiwr adneuo cyfochrog i gyfrif cyfochrog sy'n eiddo i Cashio sy'n fwy na'r swm a fathwyd. Rhaid i'r blaendal basio batri o brofion i sicrhau bod y tocynnau a adneuwyd yn cyfateb i'r math yng nghyfrifon y protocol.
Contract smart Cashio gwirio bod y math tocyn yn cyfateb i un y cyfrif saber_swap.arrow, ond ni wnaethpwyd unrhyw wiriad ar y paramedr “mint” yn y cyfrif saber_swap.arrow, gan alluogi creu cyfrif saber_swap.arrow ffug i ganiatáu cyfrif crate_collateral_tokens ffug a'i gwnaeth yn bosibl i adneuo cyfochrog diwerth.
Ar ôl bathu dau biliwn o $CASH gan ddefnyddio'r cyfochrog ffug, tynnodd yr ymosodwr werth $ 52M o USDC a Tether yn ôl, gan gyfnewid y stablau am ETH gan ddefnyddio Paraswap a Curve ar ôl hynny. Parhaodd yr ymosodiad am awr. Y tocyn $CASH plymio o'i beg doler bwriadedig i bron sero yn sgil yr ymosodiad.
Mae Saber yn gweithio gyda Cashio i atal codi arian
Yn dilyn yr hac, mae'r tîm o Saber, y gwneuthurwr marchnad awtomataidd traws-gadwyn ar Solana, wedi oedi'r holl dynnu'n ôl i Cashio a gweithio gyda Cashio i rewi eu contractau smart ar ôl hynny. Mae gwneuthurwr marchnad awtomataidd yn fath o gontract smart sy'n rheoleiddio prisiau gwahanol docynnau yn seiliedig ar eu digonedd neu brinder mewn cronfa hylifedd, gan godi tâl am gyfnewidiadau tocynnau (ee cyfnewid ETH am BAT) i dalu darparwyr hylifedd.
Mae ceisiadau Cyllid datganoledig yn dibynnu ar bobl yn adneuo hylifedd i gronfa hylifedd. Po fwyaf o docyn arbennig, yr isaf fydd ei bris ar gyfer cyfnewid.
Mae tîm Saber yn cynnig gwobr o $1M am wybodaeth sy'n arwain at arestio'r ymosodwr.
Beth ydych chi'n ei feddwl am y pwnc hwn? Ysgrifennwch atom a dywedwch wrthym!
Ymwadiad
Cyhoeddir yr holl wybodaeth a gynhwysir ar ein gwefan yn ddidwyll ac at ddibenion gwybodaeth gyffredinol yn unig. Mae unrhyw gamau y mae'r darllenydd yn eu cymryd ar y wybodaeth a geir ar ein gwefan yn hollol ar ei risg ei hun.
Ffynhonnell: https://beincrypto.com/cashio-hacker-asks-affected-users-to-state-their-case-if-they-want-their-funds-returned/