Cashio, projekt stablecoina z Solany, został splądrowany na miliony po tym, jak atakujący wykorzystali „nieskończoną usterkę mennicy” (infinite mint glitch).
Cena Cashio, dolarowego stablecoina CASH, spadła z 1 USD do 0,00005 USD po tym, jak atakujący wykorzystali „nieskończoną usterkę mennicy”, która umożliwiła im wybijanie tokenów bez dostarczania zabezpieczenia.
Twórca Cashio, 0xGhostChain, napisał na Twitterze ostrzeżenie, aby „nie wybijać żadnych CASH”, dodając, że zespół „bada problem i wierzymy, że znaleźliśmy przyczynę. Prosimy o wycofanie swoich środków z puli. Natychmiast opublikujemy raport końcowy”.
Według DeFiLlama, około 28 milionów dolarów wartości zostało wydrenowane z protokołu Cashio z powodu exploita. Jednak Samczsun, partner badawczy w firmie inwestycyjnej Web3 Paradigm, podzielił się dziś na Twitterze bardziej ponurym obrazem sytuacji.
Badacz napisał: „Kolejny dzień, kolejny exploit Solana na fałszywe konto. Tym razem Cashio App straciło około 50 milionów dolarów (na podstawie szybkiego przeglądu). Jak do tego doszło? „
Kolejny dzień, kolejny exploit na fałszywe konto Solana. Tym razem, @CashioApp stracił około 50 milionów dolarów (na podstawie szybkiej analizy). Jak do tego doszło? pic.twitter.com/t7ThWL4zr1
– samczsun (@samczsun) 23 marca 2022
Projekt nie odpowiedział nam, aby potwierdzić skalę ataku.
Cashio Dollar jest rodzimym stablecoinem Solana, wprowadzonym na rynek w listopadzie 2021 roku.
Zazwyczaj każdy może wybić CASH, wpłacając najpierw tokeny dostawcy płynności (LP) Saber USDT-USDC.
Saber jest zdecentralizowaną giełdą na Solanie, podobną do Uniswap. Za każdym razem, gdy użytkownicy wpłacają tokeny do puli płynności na Saber, otrzymują tokeny LP reprezentujące token ich depozytu.
Cashio hack nie bez precedensu
To nie jest pierwszy raz, kiedy protokół DeFi został splądrowany na miliony poprzez błąd „nieskończonej mennicy”.
W grudniu 2020 roku grupa deweloperów DeFi wykorzystała podobny exploit na projekcie DeFi insurance Cover i wybiła fałszywe tokeny, aby zapewnić płynność Balancerowi.
Atakujący następnie wymieniali tokeny ze stakami na tokeny COVER, które następnie były wielokrotnie sprzedawane na giełdach.
Całkowita szkoda za atak wyniosła 3 miliony dolarów, które rzekomo zostały odesłane w całości, wraz z notatką dołączoną do transakcji: „Następnym razem zadbaj o własne gówno „
Następnym razem zajmij się swoim własnym gównem.@CoverProtocol @chefcoverage https://t.co/ks94ucdoRQ
1. Bez zysków.
2. Środki uzyskane od LP zostały zwrócone do COVER.– Grap.finance (@GrapFinance) 28 grudnia 2020
Ubiegłego lata napastnicy doprowadzili cenę tytułowego dolarowego stablecoina SafeDollar do zera po tym, jak z puli płynności platformy zgrabili stablecoiny o wartości około 250 000 USD, a następnie ogrodzili skradzione monety na platformie PolyDex.
