Cashio, um projecto de moeda estável baseado na Solana, foi saqueado por milhões após os atacantes terem aproveitado uma “falha infinita de menta”
O preço da Cashio’s dollar-pegged stablecoin CASH caiu de $1 para $0,00005 após uma “falha infinita de hortelã” ter permitido aos atacantes a mintar fichas sem fornecer garantias.
A Cashio developer 0xGhostChain levou ao Twitter para avisar as pessoas “para não cunharem nenhum CASH”, acrescentando que a equipa “está a investigar o assunto e acreditamos ter encontrado a causa principal. Por favor, retirem os vossos fundos das piscinas. Publicaremos uma postmortem o mais rapidamente possível”.
Segundo a DeFiLlama, cerca de 28 milhões de dólares de valor foram drenados do protocolo da Cashio devido à exploração. Ainda assim, Samczsun, um parceiro de pesquisa da empresa de investimento Paradigm da Web3, partilhou hoje no Twitter uma imagem mais sombria.
O investigador escreveu: “Outro dia, outra falsa exploração da conta Solana. Desta vez, a Cashio App perdeu cerca de 50 milhões de dólares (com base num skim rápido). Como é que isto aconteceu? “
Outro dia, outra exploração falsa de conta Solana. Desta vez, @CashioApp perdeu cerca de $50M (com base num skim rápido). Como é que isto aconteceu? pic.twitter.com/t7ThWL4zr1
– samczsun (@samczsun) 23 de Março de 2022
W
O projecto não nos respondeu para confirmar a escala do ataque.
Cashio Dollar é uma moeda estável nativa da Solana, lançada em Novembro de 2021.
Tipicamente, qualquer pessoa pode cunhar CASH depositando primeiro fichas de liquidez Saber USDT-USDC (LP).
Saber é uma bolsa descentralizada em Solana, semelhante à Uniswap. Sempre que os utilizadores depositam fichas em reservas de liquidez no Saber, recebem fichas LP representando uma ficha do seu depósito.
Cashio hack não sem precedente
Esta não é a primeira vez que um protocolo DeFi foi saqueado por milhões através de uma falha de “menta infinita”.
Em Dezembro de 2020, um grupo de criadores de DeFi utilizou uma exploração semelhante na cobertura do projecto de seguros DeFi e fichas falsas cunhadas para fornecer liquidez ao Balancer.
Os atacantes trocaram então as fichas apostadas por fichas COVER, que foram depois vendidas em trocas repetidas vezes.
O dano total do ataque foi de $3 milhões, que alegadamente foram devolvidos na totalidade, juntamente com uma nota anexa à transacção: “Da próxima vez, trate da sua própria merda”
Próxima vez, cuide da sua própria merda.@CoverProtocolo @chefcoverage https://t.co/ks94ucdoRQ
1. Sem ganhos.
2. Os Fundos Obtidos da LP foram devolvidos à COVER.– Grap.finance (@GrapFinance) Dezembro 28, 2020
No Verão passado, os atacantes pagaram a zero o preço da moeda estável de um dólar de ponta de SafeDollar após saquearem cerca de 250.000 dólares das reservas de liquidez da plataforma, e depois vedaram as moedas roubadas em PolyDex.
