Хакер, взломавший Cashio, вернул средства "бедным кошелькам"
Можно было бы снова использовать журналистский штамп о том, что “мир DeFi был потрясен хакерским взломом”. Но, правда заключается в том, что мир DeFi уже начинает привыкать к подобным происшествиям: к сожалению, относительно молодая индустрия децентрализованных финансов постоянно подвергается атакам со стороны более зрелой индустрии киберпреступлений.
Итак, 23 марта 2022 года команда CASHio – децентрализованная платформа на базе блокчейна Solana – сообщила о том, что неизвестному злоумышленнику удалось использовать “дыру” в алгоритме генерации токена CASH, спровоцировав “бесконечную эмиссию”.
В результате, хакер вывел из пула CASHio криптовалютные активы рыночной стоимостью 52 миллиона долларов. Это стало вторым по размеру взломом в DeFi, после нашумевшего эксплойта Wormhole, когда был нанесен убыток в $320 млн.
Токен CASH
Монеты CASH создаются путем предоставления стейблкоинов USDT и USDC в качестве залога на децентрализованной бирже Saber. Баг на уровне кода состоял в возможности запустить инфинити-минтинг без соответствующей балансирующей реакции на другом конце алгоритма.
Можно сказать, что “2+2” в системе временно перестало быть равным “4”, но система продолжала функционировать так, как будто этот результат ни на что не влиял.
Мошенник, воспользовавшись ошибкой, сгенерировал 2 миллиарда “нелегальных” токенов, и затем быстро избавился от них, выручив суммарно более 50 миллионов долларов.
Реакция рынка
Еще за день до этих событий монета стоила $1 – именно столько, сколько и должна стоить криптовалюта, обеспеченная стейблкоинами в соотношении 1:1.
Однако, цифровую экономику (в отличие от собственного алгоритма протокола) не обманешь, поэтому, как только соотношение CASH и залога резко изменилось, стоимость токена мгновенно обвалилась почти до нуля, что автоматически сделало пострадавшими всех инвесторов.
Также пользователи панически бросились выводить свои средства, что уменьшило количество заблокированных активов на платформе более, чем в 50 раз.
Появление Робин Гуда
В примечании к транзакции хакер оставил послание, благодаря которому он и получил прозвище “Робин Гуд”. Суть послания заключалась в возврате средств “бедным” юзерам (кошельки с балансом менее 100 000 монет), и отказе в возмещении “богатым” кошелькам.
Красивый жест, но будем справедливы: настоящий Робин Гуд отдавал бедным то, что забирал у богатых. А наш “герой” просто вернул бедным их же деньги.
Нюансы
Спустя время, на Medium были “зачищены” статьи с некоторыми заявлениями от Cashio, сделанными по горячим следам. В частности, попытки просмотреть сообщения о том, что команда не станет возмещать убытки пользователям, а также о предложенном вознаграждении для хакера в $1 млн в случае возврата средств приводят к ошибке “404”
Удаление этих постов говорит об эмоциональной реакции проекта на произошедшие события, и большой стресс при принятии первых решений.
