O Web3 cai quando a stablecoin Cashio, baseada em Solana, perdeu seu valor depois que um invasor experiente a explorou por cerca de US$ 28 milhões. À medida que o derramamento de sangue dos puxões de tapetes cresce, vale a pena discutir o que está em jogo no quadro geral.
Leitura Relacionada | Coinbase descarta links de criptomoeda após ameaças 'Rug Pull'
Como isso aconteceu
Um pesquisador da Paradigma explicado o ataque de US$ 50 milhões.
Outro dia, outra exploração de conta falsa de Solana. Desta vez, @CashioApp perdeu cerca de US$ 50 milhões (com base em uma análise rápida). Como isso aconteceu? pic.twitter.com/t7ThWL4zr1
- samczsun (@samczsun) 23 de março de 2022
Os usuários do Cashio cunharam o token CASH depositando tokens Sabre USDT-USDC LP como garantia. O Sabre é um criador de mercado automatizado de cadeia cruzada para ativos atrelados em Solana.
Embora o protocolo valide contas de detentores de tokens, o sistema de validação do Cashio estava incompleto porque nãonão fornecer uma raiz de confiança. Isso abriu a porta para a hortelã infinita.
O pesquisador ainda explicado aquele "O invasor acabou de criar contas falsas até o fim e depois as encadeou de volta até finalmente criar uma conta falsa crate_collateral_tokens.”
Dessa forma, eles foram capazes de cunhar tokens LP do pool $CASH com qualquer token, “depois queimados por tokens LP SaberSwap que foram sacados por 10.8M UST e 16.4M USDC, e os restantes 1.97B CASH foram trocados por 8.6M UST e 17 milhões de USDC no SaberSwap.”
O preço do $CASH despencou e o explorador deixou uma mensagem intrigante:
“Contas com menos de 100k foram devolvidas. todo o outro dinheiro será doado para caridade.”
Foi confirmado que o hacker reembolsado alguns dos fundos roubados para os pools wUST e USDC. Mas caridade? Nós não pensamos assim.
O Robinhood de Solana?
Joe McGill da TRM Labs está ajudando a identificar o culpado e confirmado que eles estão trabalhando com um lead fornecido pelo escritor Stefan Stankovic da Cryptobriefing, que descobriu que o explorador poderia ser um adolescente de 16 anos (ou assim ele disse SUA PARTICIPAÇÃO FAZ A DIFERENÇA) que atende pelo nome de Ariusuha e esteve envolvido em vários puxões de tapete.
Descobertas recentes mostram que a carteira do explorador, 6D7f, foi financiado pela carteira sWZs, que tem sido vinculado anteriormente para os puxadores de tapete NFT mencionados. Doodle Dragons NFT, Balloonsville NFT e para gente fina. No caso do primeiro, havia prometido doar US$ 30,000 para o WWF e, quando o tapete foi puxado, sua conta do Twitter, agora excluída, postou esta mensagem:
Então podemos supor o que vai acontecer com de Ariusuha última intenção de caridade.
Mas este último ataque pode ter sido grande demais para Ariusuha. A pesquisa de Stankovic descobriu que Ariusuha pode ter um perfil no OpenSea, que está ligado a um Ethereum wallet anteriormente financiado pelo troca centralizada FTX. Isso poderia facilmente levar as autoridades ao invasor.
Leitura Relacionada | Ethereum DAO Hacker Doxxed? Como esta ferramenta de encadeamento levou à sua identidade
O perigo da web3
O ecossistema Web3 continua vendo projetos sendo puxados do tapete repetidamente. E muitos usuários se recusam a desistir, mas por quê?
Muitos fanáticos por NFT/Web3 parecem ser muito jovens. Eles geralmente gostam de se gabar disso. Focando nos jovens por enquanto, vamos dar uma olhada em um possível padrão desse fenômeno social moderno:
- Se gabar: as gerações jovens parecem ter uma grande pressão para se tornarem milionários rapidamente. Ganhe dinheiro rápido para poder postar sobre isso. Semelhante às reclamações que a indústria da beleza recebe sobre seus efeitos perigosos nas mídias sociais, podemos estar vendo um caso semelhante com dinheiro.
- Preocupações modernas: por outro lado, as gerações mais jovens enfrentam a crua realidade do aumento da inflação e de empregos que não pagam o suficiente. Como fornecer? Como ter sucesso? A mídia social mostra muitas pessoas que parecem ter lucrado tanto fazendo tão pouco. Muitos não podem deixar de se perguntar: por que trabalhar tanto e ainda não ter o suficiente para a aposentadoria?
- Background: um mundo que já parece distópico. A pandemia, política, guerra, etc etc etc.
- Desespero: qualquer um desses cenários, vãos ou não, pode ser fonte de desespero silencioso. Como podemos lidar? [Role, role, poste uma selfie, role] “Você também pode se tornar um milionário ao vivo despreocupado”, promete um post.
- Sonhos e algo que parece divertido e colorido promete ser um projeto como nenhum outro. Eles afirmam ser transparentes, sustentáveis, o design parece que vai ganhar dinheiro, outros projetos sim, e eles podem jogar a palavra 'descentralizado' lá também.
Mas nem todos os usuários podem dizer que muitos desses projetos têm problemas de segurança e são enganados. E mesmo que eles saibam que é arriscado, esse desespero social silencioso pode estar ajudando a empurrá-los de qualquer maneira. E os golpistas aprenderam como atrair um tapete.
Se o ecossistema Web3 não traçar limites claros para evitar isso, os usuários sempre estarão jogando com uma espada de duas pontas que pode eventualmente estourar a bolha maior e se transformar nas maiores perdas até agora.
Talvez não sejam apenas os jpegs que estão sendo explorados, mas toda a psique humana.
Fonte: https://bitcoinist.com/the-alarming-web3-beyond-the-solana-hack/