El pirata informático que robó 52 millones de dólares del protocolo Cashio, con sede en Solana, el 23 de marzo, al explotar un sistema de validación de garantías incompleto para acuñar $CASH, exige justificaciones de los proveedores de liquidez sobre por qué deben reembolsarse.
El perpetrador solicitó a las víctimas que perdieron más de 100,000 dólares que presentaran una justificación que indicara por qué deberían devolverse sus fondos, diciendo que no reembolsarían a los estadounidenses y europeos adinerados y que su “intención era tomar dinero de aquellos que no lo necesitan, no de los que lo hacen.”
El hacker insertó este mensaje en una transacción de Ethereum la madrugada del lunes. Un proveedor de la comunidad de Cashio creó un sitio web para que las víctimas enviaran respuestas, utilizando una plantilla proporcionada por el hacker. Todas las víctimas que perdieron menos de 100 mil dólares han sido reembolsadas.
¿Cómo ocurrió el ataque?
Para acuñar nuevos tokens $CASH, monedas estables respaldadas por USDC y Tether de proveedores de liquidez, un usuario debe depositar garantías en una cuenta de garantía propiedad de Cashio que exceda la cantidad acuñada. El depósito debe pasar una batería de pruebas para garantizar que los tokens depositados coincidan con el tipo en las cuentas del protocolo.
El smart contract de Cashio verificó que el tipo de token coincidiera con el de la cuenta saber_swap.arrow, pero no verificó el parámetro “mint” en la cuenta saber_swap.arrow, lo que permitió la creación de una cuenta sabre_swap.arrow falsa para permitir una cuenta crate_collateral_tokens falsa que hizo posible depositar garantías sin valor.
Después de acuñar dos mil millones de dólares en EFECTIVO utilizando la garantía falsa, el atacante retiró USDC y Tether por valor de 52 millones de dólares, y luego cambió las monedas estables por ETH utilizando Paraswap y Curve. El ataque duró una hora. El token $CASH se desplomó desde su fijación prevista en dólares a casi cero a raíz del ataque.
Sabre trabaja con Cashio para pausar los retiros
Después del hackeo, el equipo de Saber, el creador de mercado automatizado de cadenas cruzadas en Solana, detuvo todos los retiros en Cashio y trabajó con Cashio para congelar sus contratos inteligentes después de eso.
Un creador de mercado automatizado es un tipo de smart contract que regula los precios de diferentes tokens en función de su abundancia o escasez en un grupo de liquidez, cobrando por exchanges de tokens (por ejemplo, intercambiando ETH por BAT) para pagar a los proveedores de liquidez.
Las aplicaciones DeFi dependen de que las personas depositen liquidez en un grupo de liquidez. Cuanto más de un token en particular, menor será su precio para el intercambio. El equipo de Sabre ofrece una recompensa de 1 millón de dólares por información que conduzca al arresto del atacante.
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
