by cryptoblog Hack gak berhenti berhenti ya guys
Sumber : Rekt News
~$48 juta diuangkan. atau sekitar Rp. 689 Milliar
Entri papan peringkat terbaru (#13) berasal dari jaringan Solana, di mana penyerang anonim menggunakan mint tak terbatas untuk membuat Cashio mencetak lebih cepat daripada Fed.
Eksploitasi dimulai pada 08:15 UTC. Pada 09:59 UTC, Cashio membuat pengumuman mereka:
Harap jangan mencetak UANG TUNAI apa pun. Ada kesalahan mint yang tak terbatas.
Kami sedang menyelidiki masalah ini dan kami yakin kami telah menemukan akar masalahnya. Harap tarik dana Anda dari pool. Kami akan menerbitkan postmortem ASAP.
Hiperinflasi pada kerangka waktu kripto.
Setidaknya tagline mereka akurat.
Kredit: samczsun
Akar dari kerentanan mint yang tak terbatas adalah sistem validasi agunan Cashio yang tidak lengkap.
Sebelum menerima token sebagai jaminan untuk mencetak UANG TUNAI, kontrak memeriksa apakah token yang akan disetorkan sudah benar (jenis token yang sama dengan yang dimiliki kontrak).
Namun, validasi token LP yang akan disimpan melalui saber_swap.arrow tidak lengkap, karena bidang .mint tidak pernah divalidasi.
Hal ini mengakibatkan peretas dapat membuat kontrak root palsu, yang tidak pernah divalidasi, dan kemudian rantai akun palsu yang masing-masing lolos pemeriksaan validasi karena hanya dibandingkan satu sama lain.
Oleh karena itu, peretas dapat menggunakan token mereka sebagai jaminan untuk mencetak 2B $CASH.
Sebagian dari dana tersebut kemudian dibakar untuk token SaberSwap LP yang dicairkan untuk 10,8 juta UST dan 16,4 juta USDC, dan sisa 1,97 miliar UANG ditukar dengan 8,6 juta UST dan 17 juta USDC di SaberSwap.
Sebagian besar dana dijembatani kembali ke Ethereum, dan ditukar dengan >16k ETH (~$48 juta) yang tersisa di dompet ini.
Setelah serangan tersebut, alamat SOL pengeksploitasi mengeluarkan ratusan transaksi dengan jumlah USDC yang relatif kecil ke alamat yang berbeda. Dan 3 jam setelah eksploitasi dimulai, peretas meninggalkan pesan berikut melalui data input transaksi:
“Rekening dengan kurang 100k telah dikembalikan. semua uang lainnya akan disumbangkan untuk amal.”
Karena penyerang telah menangani sendiri sebagian dari proses pengembalian dana, mungkin Cashio akan memutuskan untuk melanjutkan, kami akan mengetahuinya dengan pasti dalam rencana post-mortem mereka.
Haruskah kita mempercayai klaim amal dari penyerang anonim, atau apakah ini hanya upaya untuk mencegah siapa pun mencoba melacak mereka?
Shitcoin dicuri untuk mendanai upaya perang?
Kami akan mengawasi dompet untuk mencari tahu.
