Solana 原生穩定幣協議使用“假賬戶”漏洞竊取了大約5000 萬美元。這顯然允許黑客鑄造無限量的現金,穩定幣背後的團隊已經承認了這一點。
正如Paradigm 的samczun 在Twitter 上解釋的那樣,CashioApp 要求用戶存入質押品以鑄造更多的穩定幣CASH。跨程序調用(CPI)將代幣從一個人的賬戶轉移到協議的賬戶,但前提是兩個賬戶都持有相同類型的代幣。如果他們不這樣做,令牌程序將拒絕轉移。 “該協議通過將crate_collateral_tokens 賬戶與質押賬戶進行比較來驗證它是否持有正確類型的代幣,”他說。 “它還驗證質押賬戶與saber_swap.arrow 賬戶共享相同的代幣類型。” 但是,他還發現“箭頭”帳戶的鑄幣廠字段從未經過驗證。根據samczun 的說法,這使得上述所有驗證都變得毫無意義,並讓黑客在流程的每一步都製作虛假賬戶。 “由於Cashio 沒有為其使用的所有賬戶建立信任根,攻擊者能夠通過偽造一系列虛假賬戶竊取大約5000 萬美元,”他總結道。 Cashio 也解決了這個問題,敦促用戶不要鑄造任何CASH,因為現在存在“無限鑄造故障”。他們說他們將很快發布驗屍報告,但尚未發布。上個月,以太坊到索拉納的橋也被黑客入侵,價值3.2 億美元的點評ETH。
特別優惠(贊助)幣安免費100 美元(獨家):使用此鏈接註冊並獲得幣安期貨第一個月免費100 美元和10% 的費用(條款)。
PrimeXBT 特別優惠:使用此鏈接註冊並輸入POTATO50 代碼,即可獲得高達7,000 美元的存款。
資訊來源:由0x資訊編譯自CRYPTOPOTATO。版權歸原作者所有,未經許可,不得轉載
