Хакер, який зламав Cashio, повернув кошти “бідним гаманцям”
![Хакер, який зламав Cashio, повернув кошти “бідним гаманцям” Фото - Хакер, який зламав Cashio, повернув кошти “бідним гаманцям”](https://s3.eu-central-1.amazonaws.com/gncrypto.news/cashio-vzlomal-22robin-gud22-final-black-1653055168EpWCr.png)
Злом DeFi-протоколу CASHio
Можна було б знову використати журналістський штамп про те, що “світ DeFi був приголомшений хакерським зломом”. Але, правда полягає в тому, що світ DeFi вже починає звикати до подібних подій: на жаль, відносно молода індустрія децентралізованих фінансів постійно атакується зі сторони зрілої індустрії кіберзлочинів.
Отже, 23 березня 2022 року команда CASHio – децентралізована платформа на базі блокчейну Solana – повідомила про те, що невідомому зловмиснику вдалося використати “дірку” в алгоритмі генерації токена CASH, спровокувавши “безкінечну емісію”.
У результаті хакер вивів з пулу CASHio криптовалютні активи ринковою вартістю 52 мільйони доларів. Це стало другим за розміром зломом у DeFi, після гучного експлойту Wormhole, коли було завдано збитку в $320 млн.
![](https://s3.eu-central-1.amazonaws.com/gncrypto.news/unnamed-2-1653055379JDpBc.jpg)
Токен CASH
Монети CASH створюються шляхом надання стейблкоїнів USDT та USDC як заставу на децентралізованій біржі Saber. Баг на рівні коду складався з можливості запустити інфініті-мінтинг без відповідної балансуючої реакції на іншому кінці алгоритму.
Можна сказати, що “2+2” у системі тимчасово перестало дорівнювати “4”, але система продовжувала функціонувати так, ніби цей результат ні на що не впливав.
Шахрай, скориставшись помилкою, згенерував 2 мільярди “нелегальних” токенів, і потім швидко позбувся їх, виручивши сумарно більше 50 мільйонів доларів.
![](https://s3.eu-central-1.amazonaws.com/gncrypto.news/unnamed-3-1653055468fEAk8.jpg)
Реакція ринку
Ще за день до цих подій монета коштувала $1 – саме стільки, скільки й має коштувати криптовалюта, забезпечена стейблкоїнами у співвідношенні 1:1.
Однак, цифрову економіку (на відміну від власного алгоритму протоколу) не обдуриш, тому, як тільки співвідношення CASH і застави різко змінилося, вартість токена миттєво впала майже до нуля, що автоматично зробило постраждалими всіх інвесторів.
![](https://s3.eu-central-1.amazonaws.com/gncrypto.news/unnamed-4-1653055536o1Rvj.jpg)
Також користувачі панічно кинулися виводити свої кошти, що зменшило кількість заблокованих активів на платформі більш ніж у 50 разів.
Поява Робін Гуда
У примітці до транзакції хакер залишив послання, завдяки якому він отримав прізвисько “Робін Гуд”. Суть послання полягала у поверненні коштів “бідним” користувачам (гаманці з балансом менше 100 000 монет), і відмові у відшкодуванні “багатим” гаманцям.
Гарний жест, але будемо справедливі: справжній Робін Гуд віддавав бідним те, що забирав багатих. А наш “герой” просто повернув бідним їхні ж гроші.
![](https://s3.eu-central-1.amazonaws.com/gncrypto.news/unnamed-5-1653055607YvU7l.jpg)
Нюанси
Через деякий час на Medium були “зачищені” статті з деякими заявами від Cashio, зробленими по гарячих слідах. Зокрема, спроби переглянути повідомлення про те, що команда не відшкодовуватиме збитки користувачам, а також про запропоновану винагороду для хакера в $1 млн у разі повернення коштів ведуть до помилки “404”.
Видалення цих постів говорить про емоційну реакцію проекту на події, що відбулися, і великий стрес при прийнятті перших рішень.
![](https://s3.eu-central-1.amazonaws.com/gncrypto.news/unnamed-6-1653055675iWpUT.jpg)