Web3 propade, saj je stabilni coin Cashio, ki temelji na Solani, izgubil svojo vrednost, potem ko ga je izkušeni napadalec izkoristil za približno 28 milijonov dolarjev. Ker se prelivanje krvi preproge povečuje, je vredno razpravljati o tem, kaj je na kocki v širši sliki.
Sorodno branje | Coinbase zavrže povezave s kriptovalutami po grožnjah 'Rug Pull'
Kako se je zgodilo
Raziskovalec iz Paradigme razložiti napad 50 milijonov dolarjev.
Še en dan, še en izkoriščanje lažnega računa Solana. Tokrat, @CashioApp izgubil okoli 50 milijonov dolarjev (na podlagi hitrega pregleda). Kako se je to zgodilo? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) Marec 23, 2022
Uporabniki Cashia so kovali žeton CASH tako, da so kot zavarovanje položili žetone Sabre USDT-USDC LP. Sabre je medverižni avtomatizirani ustvarjalec trga za vezana sredstva na Solani.
Čeprav protokol potrjuje račune imetnikov žetonov, je bil Cashiov sistem potrjevanja nepopoln, ker jene zagotavljajo korenin zaupanja. To je odprlo vrata za neskončno kovnico.
Raziskovalec dalje razložiti da "Napadalec je pravkar ustvaril lažne račune do konca in jih nato vklenil nazaj, dokler niso končno ustvarili lažnega računa crate_collateral_tokens.
Na ta način so lahko kovali žetone LP iz skupine $CASH s katerim koli žetonom, "nato so zapisali za žetone SaberSwap LP, ki so bili unovčeni za 10.8 milijona UST in 16.4 milijona USDC, preostalih 1.97 milijarde gotovine pa so zamenjali za 8.6 milijona UST in 17 milijonov USDC na SaberSwap."
Cena $CASH je padla v nič in izkoriščevalec je pustil zanimivo sporočilo:
»Račun z manj 100 je bil vrnjen. ves preostali denar bo namenjen v dobrodelne namene."
To je bila potrjena da heker povrnjeno nekaj ukradenih sredstev v združenja wUST in USDC. Toda dobrodelnost? Mislimo, da ne.
Solana Robinhood?
Joe McGill iz TRM Labs pomaga identificirati krivca in potrjena da delajo z vodilom, ki ga je zagotovil pisatelj Stefan Stanković iz Cryptobriefinga, ki je ugotovil, da bi bil izkoriščevalec lahko 16-letni najstnik (oz. tukaj), ki se imenuje Ariusuha in je bil vpleten v večkratno vlečenje preprog.
Nedavne ugotovitve kažejo, da je denarnica izkoriščevalca, 6D7f, je bila financirana iz denarnice sWZs, kar je bilo prej povezana do omenjene preproge NFT vleče. Doodle Dragons NFT, Balloonsville NFT in za Fine Folks. V primeru prvega je obljubil, da bo podaril 30,000 $ WWF, in ko se je preproga umaknila, je njen zdaj izbrisani Twitter račun objavil to sporočilo:
Torej lahko domnevamo, kaj se bo zgodilo Ariusuha zadnja dobrodelna namena.
Toda ta zadnji napad bi bil morda prevelik za Ariusuho. To je ugotovila Stankovičeva raziskava Ariusuha ima morda a profil na OpenSea, ki je povezan z an Ethereum denarnica prej financiran s strani centralizirana menjalnica FTX. To bi lahko oblasti zlahka pripeljalo do napadalca.
Sorodno branje | Ethereum DAO Hacker Doxxed? Kako je to orodje za verižno analizo pripeljalo do njegove identitete
Nevarnost spleta3
V ekosistemu Web3 se projekti vedno znova vlečejo. In mnogi uporabniki se temu nočejo odreči, toda zakaj?
Zdi se, da so številni fanatiki NFT/Web3 zelo mladi. Običajno se s tem radi pohvalijo. Če se za zdaj osredotočimo na mlade, pokukajmo v možen vzorec tega sodobnega družbenega pojava:
- hvalisanje: Zdi se, da imajo mlade generacije velik pritisk, da hitro postanejo milijonarji. Hitro zaslužite, da lahko o tem objavljate. Podobno kot pritožbe, ki jih lepotna industrija prejema o svojih nevarnih učinkih prek družbenih omrežij, morda vidimo podoben primer z denarjem.
- Moderne skrbi: po drugi strani se mlajše generacije soočajo s surovo realnostjo naraščajoče inflacije in delovnih mest, ki niso dovolj plačana. Kako zagotoviti? Kako uspeti? Socialni mediji kažejo, da je veliko ljudi, za katere se zdi, da so tako malo pridobili. Mnogi si ne morejo kaj, da se ne bi spraševali: zakaj toliko delati, pa še vedno premalo za upokojitev?
- Kontekst: svet, ki se že zdi distopičen. Pandemija, politika, vojna itd itd.
- Obup: kateri koli od teh scenarijev, zaman ali ne, bi lahko bil vir tihega obupa. Kako se lahko spopademo? [Pomikajte, pomikajte, objavite selfie, pomikajte] »Tudi vi lahko brezskrbno v živo postanete milijonar,« obljublja objava.
- Sanje: in nekaj, kar se zdi zabavno in barvito, obljublja, da bo projekt kot noben drug. Trdijo, da je pregleden, trajnosten, da je dizajn videti, kot da bo služil denar, drugi projekti ga imajo, in morda bi tudi tja dodali besedo "decentraliziran".
Toda vsi uporabniki ne morejo povedati, da imajo mnogi od teh projektov varnostne težave in so prevarani. In tudi če vedo, da je tvegano, bi jim ta tihi družbeni obup morda pomagal, da jih potisnejo noter. In prevaranti so se naučili vabe preprogo.
Če ekosistem Web3 ne zasledi jasnih meja, da bi to preprečil, se bodo uporabniki vedno igrali z dvosmernim mečom, ki bi lahko sčasoma razbil večji mehurček in se spremenil v največjo izgubo doslej.
Morda se ne izkoriščajo samo jpegi, ampak celotna človeška psiha.
Vir: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/