Web3 stort in elkaar omdat de op Solana gebaseerde stablecoin Cashio zijn waarde verloor nadat een ervaren aanvaller deze voor ongeveer $ 28 miljoen had uitgebuit. Naarmate het bloedvergieten onder tapijttrekkerijen toeneemt, is het de moeite waard om te bespreken wat er in het grotere geheel op het spel staat.
Gerelateerde literatuur | Coinbase verwijdert cryptocurrency-links na 'Rug Pull'-bedreigingen
Hoe het gebeurde
Een onderzoeker van Paradigm uitgelegd de aanval van $ 50 miljoen.
Nog een dag, nog een exploit van een nep-account van Solana. Deze keer, @CashioApp verloor ongeveer $ 50 miljoen (gebaseerd op een snelle vlucht). Hoe is dit gebeurd? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) 23 maart 2022
Cashio-gebruikers hebben het token CASH geslagen door Sabre USDT-USDC LP-tokens als onderpand te storten. Sabre is een automatische marktmaker voor meerdere ketens voor gekoppelde activa op Solana.
Hoewel het protocol accounts van tokenhouders valideert, was het validatiesysteem van Cashio onvolledig omdat dit wel het geval wasbieden geen basis van vertrouwen. Dit opende de deur voor de oneindige munt.
De onderzoeker verder uitgelegd dat "De aanvaller heeft zojuist nep-accounts aangemaakt en deze vervolgens weer helemaal aan elkaar gekoppeld, totdat ze uiteindelijk een nep-crate_collateral_tokens-account hebben gemaakt.”
Op deze manier waren ze in staat om met elk token LP-tokens uit de $CASH-pool te slaan, “vervolgens te verbranden voor SaberSwap LP-tokens die werden uitbetaald voor 10.8 miljoen UST en 16.4 miljoen USDC, en de resterende 1.97 miljard CASH werden geruild voor 8.6 miljoen UST. en 17 miljoen USDC op SabreSwap.”
De prijs van $CASH daalde tot nul en de uitbuiter liet een intrigerende boodschap achter:
“Account met minder 100 is teruggestuurd. al het overige geld wordt gedoneerd aan een goed doel.”
Het is bevestigd dat de hacker vergoed een deel van het gestolen geld naar wUST- en USDC-pools. Maar liefdadigheid? Wij denken van niet.
De Solana Robinhood?
Joe McGill van TRM Labs helpt de dader te identificeren en bevestigd dat ze werken met een aanwijzing van de schrijver Stefan Stankovic van Cryptobriefing, die erachter kwam dat de uitbuiter een 16-jarige mannelijke tiener zou kunnen zijn (dat zei hij tenminste) hier) die de naam Ariusuha draagt en betrokken is geweest bij meerdere tapijttrekkingen.
Recente bevindingen tonen aan dat de portemonnee van de uitbuiter, 6D7f, werd gefinancierd door de portemonnee sWZ's, wat is geweest eerder gekoppeld aan de genoemde NFT-tapijttrekkers. Doodle Dragons NFT, Balloonsville NFT en voor fijne mensen. In het geval van eerstgenoemde had het bedrijf beloofd 30,000 dollar te doneren aan het WWF en toen het zich terugtrok, plaatste het inmiddels verwijderde Twitter-account dit bericht:
We kunnen dus aannemen wat er zal gebeuren Ariusuha's laatste liefdadigheidsintentie.
Maar deze laatste aanval was misschien te groot voor Ariusuha. Uit het onderzoek van Stankovic bleek dat Ariusuha heeft misschien een profiel op OpenSea, die is verbonden met een Ethereum portemonnee voorheen gefinancierd door de gecentraliseerde uitwisseling FTX. Dit zou de autoriteiten gemakkelijk naar de aanvaller kunnen leiden.
Gerelateerde literatuur | Ethereum DAO Hacker Doxxed? Hoe dit hulpmiddel voor kettinganalyse tot zijn identiteit leidde
Het gevaar van Web3
Het Web3-ecosysteem ziet steeds weer dat projecten aan de kant worden gezet. En veel gebruikers weigeren het op te geven, maar waarom?
Veel NFT/Web3-fanatici lijken erg jong. Meestal scheppen ze er graag over op. Laten we ons nu op de jongeren concentreren en een kijkje nemen in een mogelijk patroon van dit moderne sociale fenomeen:
- Opscheppen: jonge generaties lijken een grote druk te hebben om snel miljonair te worden. Verdien snel geld, zodat u erover kunt posten. Vergelijkbaar met de klachten die de schoonheidsindustrie via sociale media ontvangt over de gevaarlijke effecten ervan, zien we mogelijk een soortgelijk geval met geld.
- Moderne zorgen: aan de andere kant worden de jongere generaties geconfronteerd met de rauwe realiteit van toenemende inflatie en banen die niet genoeg opleveren. Hoe verstrekken? Hoe te slagen? Sociale media laten veel mensen zien die zoveel lijken te hebben geprofiteerd door zo weinig te doen. Velen vragen zich af: waarom werken ze zoveel en hebben ze nog steeds niet genoeg voor hun pensioen?
- Achtergrond: een wereld die al dystopisch lijkt. De pandemie, de politiek, de oorlog, enz. enz.
- Wanhoop: elk van deze scenario’s, nutteloos of niet, zou de bron van stille wanhoop kunnen zijn. Hoe kunnen we ermee omgaan? [Scroll, scroll, post een selfie, scroll] “Ook jij kunt zorgeloos miljonair worden”, belooft een post.
- Dromen: en iets dat leuk en kleurrijk lijkt, belooft een project als geen ander te worden. Ze beweren transparant en duurzaam te zijn, het ontwerp ziet eruit alsof het geld gaat opleveren, andere projecten hebben dat ook gedaan, en misschien gooien ze er ook het woord 'gedecentraliseerd' in.
Maar niet alle gebruikers weten dat veel van deze projecten beveiligingsproblemen hebben en dat ze worden opgelicht. En zelfs als ze weten dat het riskant is, kan die stille sociale wanhoop hen er hoe dan ook toe aanzetten. En de oplichters hebben geleerd hoe ze een kleed moeten lokken.
Als het Web3-ecosysteem geen duidelijke grenzen stelt om dit te voorkomen, zullen gebruikers altijd met een dubbelzijdig zwaard spelen dat uiteindelijk de grootste zeepbel kan laten knappen en tot de grootste verliezen tot nu toe kan leiden.
Misschien worden niet alleen jpegs uitgebuit, maar de hele menselijke psyche.
Bron: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/