Etwa 50 Millionen US-Dollar wurden aus einem Solana-nativen Stablecoin-Protokoll mit einem „Fake-Account“-Exploit gestohlen. Dies ermöglichte es dem Hacker anscheinend, eine unbegrenzte Menge an CASH zu prägen, was das Team hinter dem Stablecoin gestanden hat.
- Wie samczun von Paradigm auf Twitter erklärte, verlangt CashioApp von den Benutzern, Sicherheiten zu hinterlegen, um mehr CASH, seinen Stablecoin-Token, zu prägen.
- Der programmübergreifende Aufruf (CPI) überträgt Token vom eigenen Konto auf das Konto des Protokolls, aber nur, wenn beide Konten den gleichen Typ von Token besitzen. Wenn dies nicht der Fall ist, wird das Token-Programm die Übertragung ablehnen.
- „Das Protokoll validiert, dass das Crate_Collateral_Tokens-Konto den richtigen Token-Typ enthält, indem es es mit dem Sicherheitenkonto vergleicht“, erklärt er. „Es überprüft auch, ob das Sicherheitenkonto den gleichen Token-Typ wie das Konto saber_swap.arrow hat.“
- Er stellte jedoch auch fest, dass das Münzfeld des „Pfeil“-Kontos niemals validiert wird. Laut samczun machte dies alle oben genannten Validierungen bedeutungslos und ließ den Hacker für jeden Schritt des Prozesses gefälschte Konten erstellen.
- „Da Cashio nicht für alle verwendeten Konten eine Vertrauensbasis aufgebaut hat, konnte ein Angreifer etwa 50 Millionen US-Dollar stehlen, indem er eine Kette gefälschter Konten fälschte“, fasste er zusammen.
- Cashio ging ebenfalls auf das Problem ein und forderte die Benutzer auf, kein CASH zu prägen, da es jetzt einen „unendlichen Münzfehler“ gebe. Sie sagten, sie würden bald eine Obduktion veröffentlichen, aber sie muss noch veröffentlicht werden.
- Letzten Monat, ein Ethereum zur Solana-Brücke wurde ebenfalls für verpackte ETH im Wert von 320 Millionen Dollar gehackt.