Хакер, який зламав Cashio, повернув кошти “бідним гаманцям”
Злом DeFi-протоколу CASHio
Можна було б знову використати журналістський штамп про те, що “світ DeFi був приголомшений хакерським зломом”. Але, правда полягає в тому, що світ DeFi вже починає звикати до подібних подій: на жаль, відносно молода індустрія децентралізованих фінансів постійно атакується зі сторони зрілої індустрії кіберзлочинів.
Отже, 23 березня 2022 року команда CASHio – децентралізована платформа на базі блокчейну Solana – повідомила про те, що невідомому зловмиснику вдалося використати “дірку” в алгоритмі генерації токена CASH, спровокувавши “безкінечну емісію”.
У результаті хакер вивів з пулу CASHio криптовалютні активи ринковою вартістю 52 мільйони доларів. Це стало другим за розміром зломом у DeFi, після гучного експлойту Wormhole, коли було завдано збитку в $320 млн.
Токен CASH
Монети CASH створюються шляхом надання стейблкоїнів USDT та USDC як заставу на децентралізованій біржі Saber. Баг на рівні коду складався з можливості запустити інфініті-мінтинг без відповідної балансуючої реакції на іншому кінці алгоритму.
Можна сказати, що “2+2” у системі тимчасово перестало дорівнювати “4”, але система продовжувала функціонувати так, ніби цей результат ні на що не впливав.
Шахрай, скориставшись помилкою, згенерував 2 мільярди “нелегальних” токенів, і потім швидко позбувся їх, виручивши сумарно більше 50 мільйонів доларів.
Реакція ринку
Ще за день до цих подій монета коштувала $1 – саме стільки, скільки й має коштувати криптовалюта, забезпечена стейблкоїнами у співвідношенні 1:1.
Однак, цифрову економіку (на відміну від власного алгоритму протоколу) не обдуриш, тому, як тільки співвідношення CASH і застави різко змінилося, вартість токена миттєво впала майже до нуля, що автоматично зробило постраждалими всіх інвесторів.
Також користувачі панічно кинулися виводити свої кошти, що зменшило кількість заблокованих активів на платформі більш ніж у 50 разів.
Поява Робін Гуда
У примітці до транзакції хакер залишив послання, завдяки якому він отримав прізвисько “Робін Гуд”. Суть послання полягала у поверненні коштів “бідним” користувачам (гаманці з балансом менше 100 000 монет), і відмові у відшкодуванні “багатим” гаманцям.
Гарний жест, але будемо справедливі: справжній Робін Гуд віддавав бідним те, що забирав багатих. А наш “герой” просто повернув бідним їхні ж гроші.
Нюанси
Через деякий час на Medium були “зачищені” статті з деякими заявами від Cashio, зробленими по гарячих слідах. Зокрема, спроби переглянути повідомлення про те, що команда не відшкодовуватиме збитки користувачам, а також про запропоновану винагороду для хакера в $1 млн у разі повернення коштів ведуть до помилки “404”.
Видалення цих постів говорить про емоційну реакцію проекту на події, що відбулися, і великий стрес при прийнятті перших рішень.
