لبه دوگانه هشدار دهنده Web3: فراتر از هک سولانا

Web3 سقوط کرد زیرا استیبل کوین Cashio مبتنی بر Solana ارزش خود را پس از سوء استفاده یک مهاجم باتجربه برای حدود 28 میلیون دلار از دست داد. همانطور که خونریزی فرش افزایش می یابد، ارزش بحث در مورد آنچه در تصویر بزرگتر در خطر است.

خواندن مرتبط | کوین بیس پیوندهای ارزهای دیجیتال را پس از تهدیدات «کشیدن فرش» کنار می‌گذارد

چگونه از آن اتفاق افتاد

محققی از پارادایم توضیح داده شده حمله 50 میلیون دلاری

یک روز دیگر، یک سوء استفاده از حساب جعلی سولانا. این بار، @CashioApp حدود 50 میلیون دلار از دست داد (براساس یک بررسی سریع). چگونه این اتفاق افتاد؟ pic.twitter.com/t7ThWL4zr1

- samczsun (samczsun) مارس 23، 2022

کاربران Cashio با واریز توکن های Saber USDT-USDC LP به عنوان وثیقه، توکن CASH را ضرب کردند. Saber یک بازارساز خودکار زنجیره‌ای متقابل برای دارایی‌های ثابت در Solana است.

اگرچه پروتکل حساب های دارندگان توکن را تأیید می کند، سیستم اعتبار سنجی Cashio ناقص بود زیرا این کار را انجام داد.ریشه اعتماد ایجاد نمی کند این دری را برای ضرابخانه بی نهایت باز کرد.

محقق در ادامه توضیح داده شده که "مهاجم فقط حساب‌های جعلی ایجاد کرد و سپس آن‌ها را تا انتها به‌طور زنجیره‌ای بازگرداند تا در نهایت یک حساب جعلی crate_collateral_tokens ساخت.

به این ترتیب، آنها می‌توانستند توکن‌های LP را از استخر $CASH با هر توکنی برش دهند، «سپس با توکن‌های SaberSwap LP که با 10.8 میلیون دلار آمریکا و 16.4 میلیون دلار آمریکا نقد شده بودند، سوزانده شدند و 1.97 میلیارد دلار نقد باقی‌مانده با 8.6 میلیون دلار آمریکا معاوضه شد. و 17 میلیون دلار آمریکا در SaberSwap.

قیمت $CASH به هیچ وجه کاهش یافت و بهره‌بردار پیامی جالب از خود به جای گذاشت:

«حساب با کمتر از 100 هزار بازگردانده شده است. تمام پول های دیگر صرف امور خیریه خواهد شد.»

بود تایید شده که هکر بازپرداخت برخی از وجوه دزدیده شده به استخرهای wUST و USDC. اما خیریه؟ ما اینطور فکر نمی کنیم.

سولانا رابینهود؟

جو مک گیل از آزمایشگاه های TRM به شناسایی مقصر کمک می کند و تایید شده که آنها با سرنخ ارائه شده توسط نویسنده کار می کنند استفان استانکوویچ از Cryptobriefing، که متوجه شد سوء استفاده کننده ممکن است یک نوجوان پسر 16 ساله باشد (یا او گفت اینجا کلیک نمایید) که آریوسوها نام دارد و در چندین قالیچه کشی شرکت داشته است.

یافته های اخیر نشان می دهد که کیف پول استثمارگر، 6D7f، توسط کیف پول تامین شد sWZs، که شده است قبلا مرتبط شده است به کشش فرش NFT ذکر شده. Doodle Dragons NFT، Balloonsville NFT، و برای افراد خوب. در مورد اولی، قول داده بود که 30,000 دلار به WWF اهدا کند و زمانی که فرش پاره شد، حساب توییتر حذف شده‌اش این پیام را منتشر کرد:

بنابراین ما می توانیم فرض کنیم که چه اتفاقی خواهد افتاد آریوسوها آخرین نیت خیریه

اما این حمله اخیر ممکن است برای آریوسوها خیلی بزرگ باشد. تحقیقات استانکوویچ این را نشان داد آریوسوها ممکن است دارای یک نمایه در OpenSea، که به یک متصل است Ethereum کیف پول قبلا توسط صرافی متمرکز FTX. این می تواند به راحتی مقامات را به سمت مهاجم سوق دهد. 

خواندن مرتبط | Ethereum DAO هکر Doxxed؟ چگونه این ابزار تحلیل زنجیره ای به هویت او منجر شد

خطر Web3

اکوسیستم Web3 مدام می بیند که پروژه ها بارها و بارها شکسته می شوند. و بسیاری از کاربران حاضر به چشم پوشی از آن نیستند، اما چرا؟

به نظر می رسد بسیاری از طرفداران NFT/Web3 بسیار جوان هستند. آنها معمولاً دوست دارند درباره آن لاف بزنند. در حال حاضر با تمرکز بر جوانان، بیایید نگاهی به الگوی احتمالی این پدیده اجتماعی مدرن بیندازیم:

1. لاف زدن: به نظر می رسد نسل های جوان فشار زیادی برای میلیونر شدن سریع دارند. سریع پول در بیاورید تا بتوانید در مورد آن پست بگذارید. مشابه شکایاتی که صنعت زیبایی در مورد اثرات خطرناک آن از طریق رسانه های اجتماعی دریافت می کند، ممکن است مورد مشابهی را در مورد پول مشاهده کنیم.
2. نگرانی های مدرن: از سوی دیگر، نسل های جوان با واقعیت خام تورم فزاینده و مشاغلی که به اندازه کافی پرداخت نمی شوند، مواجه هستند. چگونه تهیه کنیم؟ چگونه موفق شویم؟ رسانه‌های اجتماعی افراد زیادی را نشان می‌دهند که به نظر می‌رسد با انجام کارهای کم سود زیادی برده‌اند. بسیاری نمی توانند از خود بپرسند: چرا اینقدر کار می کنید و هنوز برای بازنشستگی کافی نیست؟
3. زمینه: دنیایی که قبلاً دیستوپیایی به نظر می رسد. همه گیری، سیاست، جنگ، و غیره و غیره.
4. ناامید شدن: هر یک از این سناریوها، بیهوده یا بیهوده، می تواند منبع ناامیدی خاموش باشد. چگونه می توانیم کنار بیاییم؟ [پیمایش، اسکرول، ارسال یک سلفی، پیمایش] یک پست نوید می‌دهد: «شما هم می‌توانید بدون دغدغه یک میلیونر شوید».
5. رویاها: و چیزی که سرگرم کننده و رنگارنگ به نظر می رسد وعده می دهد که پروژه ای شبیه هیچ پروژه دیگری باشد. آن‌ها ادعا می‌کنند شفاف، پایدار هستند، طراحی به نظر می‌رسد که پول درآورده است، پروژه‌های دیگر نیز چنین کرده‌اند، و ممکن است کلمه «غیرمتمرکز» را نیز در آنجا بیاندازند.

اما همه کاربران نمی توانند بگویند بسیاری از این پروژه ها دارای مشکلات امنیتی هستند و مورد کلاهبرداری قرار می گیرند. و حتی اگر آنها بدانند که این کار خطرناک است، این ناامیدی خاموش اجتماعی ممکن است به هر نحوی به آنها کمک کند تا وارد شوند. و کلاهبرداران یاد گرفته اند که چگونه یک فرش را طعمه بگذارند.

اگر اکوسیستم Web3 محدودیت‌های مشخصی را برای جلوگیری از این امر ردیابی نکند، کاربران همیشه با شمشیر دو سر بازی می‌کنند که ممکن است در نهایت حباب بزرگ‌تر را بیرون بیاورد و به بزرگترین ضرر و زیان تبدیل شود.

شاید این تنها jpeg نیست که مورد سوء استفاده قرار می گیرد، بلکه کل روان انسان نیز مورد سوء استفاده قرار می گیرد.