El precio de la stablecoin CASH de Cashio ha caído de 1 dólar a 0,00005 dólares después de que un "fallo de acuñación infinito" permitiera a los atacantes crear tokens sin proveer ningún tipo de garantías.
El desarrollador de Cashio, 0xGhostChain, se dirigió a Twitter para advertir a la gente que "no acuñara ningún CASH", añadiendo que el equipo "está investigando el problema y creemos que hemos encontrado la causa raíz. Por favor, retiren sus fondos de los pools. Publicaremos un postmortem lo antes posible".
Según DeFiLlama, el protocolo de Cashio ha perdido unos 28 millones de dólares debido a este problema. Sin embargo, Samczsun, socio de investigación de la empresa de inversiones Web3 Paradigm, compartió hoy un panorama más sombrío en Twitter.
El investigador escribió: "Otro día, otro exploit de cuenta falsa de Solana. Esta vez, Cashio App ha perdido alrededor de 50 millones de dólares (según un vistazo rápido). ¿Cómo ha ocurrido esto?"
Another day, another Solana fake account exploit. This time, @CashioApp lost around $50M (based on a quick skim). How did this happen? pic.twitter.com/t7ThWL4zr1
— samczsun (@samczsun) March 23, 2022
El proyecto no ha respondido a Decrypt para confirmar la magnitud del ataque.
Cashio Dollar es una stablecoin nativa de Solana lanzada en noviembre de 2021.
Normalmente, cualquiera puede acuñar CASH depositando primero tokens de proveedor de liquidez (LP) Saber USDT-USDC.
Saber es un intercambio descentralizado en Solana, similar a Uniswap. Cada vez que los usuarios depositan tokens en grupos de liquidez en Saber, reciben tokens LP que representan un token de su depósito.
El hack de Cashio no es el primero de su tipo
Esta no es la primera vez que un protocolo DeFi ha sido saqueado por millones a través de un glitch de "creación infinita".
En diciembre de 2020, un grupo de desarrolladores de DeFi utilizó un exploit similar en el proyecto de seguros DeFi Cover y acuñó tokens falsos para proporcionar liquidez a Balancer.
A continuación, los atacantes canjearon los tokens acuñados por tokens COVER, que luego se vendieron en diversas plataformas repetidamente.
El daño total del ataque fue de 3 millones de dólares, que supuestamente fueron devueltos en su totalidad, junto con una nota adjunta a la transacción: "La próxima vez, ocúpate de tu propia mierda".
El verano pasado, los atacantes redujeron a cero el precio de la stablecoin homónima de SafeDollar de saquear unos 250.000 dólares en stablecoins de los fondos de liquidez de la plataforma, y luego cercaron las monedas robadas en PolyDex.