Titres Titres
Web3 s’effondre alors que le stablecoin Cashio basé à Solana a perdu de sa valeur après qu’un attaquant expérimenté l’ait exploité pour environ 28 millions de dollars. Alors que l’effusion de sang des tirages de tapis augmente, il vaut la peine de discuter de ce qui est en jeu dans l’ensemble.
Lecture connexe | Coinbase supprime les liens de crypto-monnaie après des menaces de « tirage de tapis »
Comment cela s’est passé
Un chercheur de Paradigm expliqué l’attaque de 50 millions de dollars.
Un autre jour, un autre exploit de faux compte Solana. Cette fois, @CashioApp perdu environ 50 millions de dollars (sur la base d’un écrémage rapide). Comment est-ce arrivé? pic.twitter.com/t7ThWL4zr1
– samczsun (@samczsun) 23 mars 2022
Les utilisateurs de Cashio ont frappé le jeton CASH en déposant des jetons Sabre USDT-USDC LP en garantie. Sabre est un teneur de marché automatisé inter-chaînes pour les actifs indexés sur Solana.
Bien que le protocole valide les comptes des détenteurs de jetons, le système de validation de Cashio était incomplet car il nene fournissent pas une racine de confiance. Cela a ouvert la porte à la menthe infinie.
Le chercheur a en outre expliqué que «L’attaquant vient de créer de faux comptes jusqu’au bout, puis les a enchaînés jusqu’à ce qu’ils créent finalement un faux compte crate_collateral_tokens.
De cette façon, ils ont pu frapper des jetons LP à partir du pool $ CASH avec n’importe quel jeton, « puis brûlés contre des jetons SaberSwap LP qui ont été encaissés pour 10,8 millions UST et 16,4 millions USDC, et les 1,97 milliards de CASH restants ont été échangés contre 8,6 millions UST. et 17 millions USDC sur SaberSwap.
Le prix du $CASH est tombé à zéro et l’exploiteur a laissé un message intrigant :
« Le compte avec moins de 100k a été retourné. tout autre argent sera reversé à des œuvres caritatives.
C’était confirmé que le pirate a remboursé une partie des fonds volés aux pools wUST et USDC. Mais la charité ? Nous ne le pensons pas.
Le Solana Robinhood ?
Joe McGill de TRM Labs aide à identifier le coupable et confirmé qu’ils travaillent avec une piste fournie par l’auteur Stefan Stankovic de Cryptobriefing, qui a découvert que l’exploiteur pourrait être un adolescent de 16 ans (c’est du moins ce qu’il a dit ici) qui s’appelle Ariusuha et qui a été impliqué dans plusieurs tirages de tapis.
Des découvertes récentes montrent que le portefeuille de l’exploiteur, 6D7f, a été financé par le portefeuille sWZs, qui a déjà été lié aux tirages de tapis NFT mentionnés. Doodle Dragons NFT, Balloonsville NFT et pour Fine Folks. Dans le cas du premier, il avait promis de faire un don de 30 000 dollars au WWF et lorsqu’il s’est retiré, son compte Twitter désormais supprimé a publié ce message :
Nous pouvons donc supposer ce qui se passera avec d’Ariusuha dernière intention de bienfaisance.
Mais cette dernière attaque aurait pu être trop importante pour Ariusuha. Les recherches de Stankovic ont révélé que Ariusuha pourrait avoir un profil sur OpenSeaqui est relié à un Ethereum portefeuille précédemment financé par le échange centralisé FTX. Cela pourrait facilement conduire les autorités à l’agresseur.
Lecture connexe | Ethereum DAO Hacker Doxxed? Comment cet outil d’analyse de chaîne a conduit à son identité
Le danger du Web3
L’écosystème Web3 continue de voir des projets se dérouler encore et encore. Et de nombreux utilisateurs refusent d’y renoncer, mais pourquoi ?
De nombreux fanatiques de NFT/Web3 semblent être très jeunes. Ils aiment généralement s’en vanter. En nous concentrant sur les jeunes pour l’instant, jetons un coup d’œil sur un schéma possible de ce phénomène social moderne :
- Vantardise: les jeunes générations semblent avoir une grosse pression pour devenir rapidement millionnaires. Gagnez de l’argent rapidement afin de pouvoir publier à ce sujet. Semblable aux plaintes que l’industrie de la beauté reçoit à propos de ses effets dangereux via les médias sociaux, nous pourrions voir un cas similaire avec de l’argent.
- Les soucis modernes : d’autre part, les jeunes générations sont confrontées à la dure réalité d’une inflation croissante et d’emplois insuffisamment rémunérés. Comment fournir ? Comment réussir ? Les médias sociaux montrent que de nombreuses personnes semblent avoir tellement profité en faisant si peu. Beaucoup ne peuvent s’empêcher de se demander : pourquoi travailler autant et toujours pas assez pour la retraite ?
- Le contexte: un monde qui semble déjà dystopique. La pandémie, la politique, la guerre, etc etc etc.
- Désespoir : l’un ou l’autre de ces scénarios, vain ou non, pourrait être la source d’un désespoir silencieux. Comment pouvons-nous faire face? [Scroll, scroll, post a selfie, scroll] « Vous aussi, vous pouvez devenir millionnaire en vivant sans soucis », promet un post.
- Rêves: et quelque chose qui semble amusant et coloré promet d’être un projet pas comme les autres. Ils prétendent être transparents, durables, la conception semble rapporter de l’argent, d’autres projets l’ont fait, et ils pourraient également ajouter le mot «décentralisé».
Mais tous les utilisateurs ne peuvent pas dire que bon nombre de ces projets ont des problèmes de sécurité et qu’ils se font arnaquer. Et même s’ils savent que c’est risqué, ce désespoir social silencieux pourrait aider à les pousser de toute façon. Et les escrocs ont appris à appâter un tapis.
Si l’écosystème Web3 ne trace pas de limites claires pour empêcher cela, les utilisateurs joueront toujours avec une épée à double tranchant qui pourrait éventuellement faire éclater la plus grosse bulle et se transformer en pertes les plus importantes à ce jour.
Ce ne sont peut-être pas seulement les jpegs qui sont exploités, mais toute la psyché humaine.
