CASHIO - REKT



48 milyon dolarcık cash.

Lider tablomuza (#13) son giriş, anonim bir saldırganın Cashio'yu Fed'den bile daha hızlı para basma makinesi olarak kullandığı Solana ağından geliyor.

İstismar 08:15 UTC'de başladı. 09:59 UTC'de Cashio duyurusunu yaptı:

Lütfen CASH basmayın. Sonsuz para basabilme hatası var.

Sorunu araştırıyoruz ve temel nedeni bulduğumuzu düşünüyoruz. Lütfen fonlarınızı havuzlardan çekin. En kısa sürede otopsi raporunu yayınlayacağız.

Kripto zaman diliminde yaratılan hiperenflasyon.

En azından sloganlarının hakkını verdiler.

Kaynak: samczsun, @madergaser, ve @siintemal.

Sonsuz mint edebilme (para basabilme) güvenlik açığının kökü, Cashio'nun eksik olan teminat doğrulama sistemiydi.

CASH basmak için teminat olarak tokenları kabul etmeden önce, sözleşme, yatırılacak tokenların doğru olup olmadığını kontrol eder (sözleşmede var olan tokenla aynı tür token).

Ancak, saber_swap.arrow aracılığıyla yatırılacak LP tokenlarının doğrulanması, .mint alanı hiçbir zaman doğrulanmadığından tamamlanamamıştır.

Bu durum, hackerın hiçbir zaman doğrulanmayan sahte bir root kontrat ve ardından yalnızca birbirleriyle karşılaştırıldıkları için doğrulama denetimlerinden geçebilen sahte hesaplar zinciri oluşturabilmesine sebep olur.

GÜNCELLEME (25/03/2022): Hacker ayrıca benzer bir mekanizma aracılığıyla depositor_source öğesini atlayarak common.collateral doğrulamasını geçmek için sahte bir banka oluşturdu. Detaylar burada.

Bu sayede hacker, tokenlarını 2 milyar $CASH basmak için teminat olarak kullanabildi.

Daha sonra fonların bir kısmı 10.8M UST ve 16.4M USDC için nakde çevrilen SaberSwap LP tokenları için yakıldı ve kalan 1.97 milyar CASH, SaberSwap'ta 8.6M UST ve 17M USDC ile swap edildi.

Fonların çoğu Ethereum'a köprülendi ve bu cüzdandaki 16k den fazla ETH (yaklaşık 48M$) ile swap edildi.

Saldırının ardından, istismarcının SOL adresi, farklı adreslere nispeten küçük miktarlarda yüzlerce sayıda USDC gönderim işlemi yaptı. Ve istismar başladıktan 3 saat sonra hacker, işlemdeki input data aracılığıyla şu mesajı bıraktı:

“Değeri 100 binden az olan hesaplara paraları iade edildi. Diğer tüm paralar hayır kurumlarına bağışlanacak.”

Saldırgan, geri ödeme sürecinin bir kısmını kendisi üstlendiği için, belki de Cashio devam etmeye karar verecek.

Bunu yazacakları otopside kesin olarak öğreneceğiz.

Anonim saldırganın hayırseverlik iddialarına inanmalı mıyız, yoksa bu sadece gönülleri hoş tutup birilerini olayın peşine düşmeye çalışmaktan caydırmak için yapılan bir girişim mi?

Yoksa savaş seferberliğini finanse etmek için çalınan Shitcoin'ler mi?

Cevapları öğrenmek için gözümüz cüzdanın üzerinde.


bu makaleyi paylaş

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.