Solana üzerindeki Cashio’da 50 milyon dolarlık hack

Solana blok zinciri üzerindeki stabil coin Cashio Dollar (CASH) protokolünden, sistemdeki boşluktan yararlanan bir hacker 50 milyon dolar değerde token çalmayı başardı.

Twitter’da Samczsun olarak bilinen ve daha önce SushiSwap’taki 350 milyon dolara mâl olabilecek bir hatayı bularak ekibe iletmesiyle kendisinden söz ettiren bir geliştirici olayı detayları anlatırken teminat yatırılarak yaratılması gereken stabil coin’in, teminatsız şekilde sonsuz derecede yaratılabildiğini söyledi.

Aynı zamanda yatırım firması Paradigm’in güvenlik uzmanlarından olan, gerçek kimliği bilinmeyen ve Twitter’da Samczsun olarak tanınan kişi, yaşanan olayı detaylarıyla anlattı.

“Sahte hesaplar zinciri yarattı”

Saldırganın, sahte hesaplar açarak 50 milyon dolara yakın değerdeki token’ları almayı başardığını belirten Samczsun şu ifadeleri kullandı:

“Yeni bir gün ve Solana üzerine yeni bir sahte hesap vurgunu… Şöyle bir göz gezdirdiğimde Cashio’nun 50 milyon dolar kaybettiğini görüyorum. Peki bu olay nasıl oldu?

Bu sistemde yeni nakit para oluşturmak için, bir teminat yatırmanız gerekir. Çapraz programlama sayesinde teminat token’ları sizin hesabınızdan protokolün hesabına geçer. Ancak bunun olması için iki hesabın da aynı tipte token tutması gerekir. Bu durum gerçekleşmezse, sistem de transferi reddeder.

Burada protokol, teminat hesabından gelen token’ın diğer hesap ile aynı olduğunu doğruluyor. Takas edilen token’ların da aynı olduğu doğrulanıyor. Ancak, para basmanın gerçekleştiği Saber hesabında doğrulama maalesef yapılmıyor.

Bu da, yapılan tüm doğrulamaların anlamsız olduğu manasına geliyor. Saldırgan da burada sahte hesaplar yaratarak, zincirleri birbirine bağladı. Casho’nun, kullandığı tüm hesapları güvenli hale getirmemesi, saldırganın sahte hesaplar zinciri yaratarak yaklaşık 50 milyon dolar çalmasına neden oldu”

Cashio uygulamasında herkes, USDT ve USDC olmak üzere iki likidite token’ını Saber platformu üzerinde teminat olarak kullanarak, para yaratabiliyor.

“Fonlarınızı havuzlardan çekin”

Cashio’nun Twitter hesabından yapılan açıklamada da kullanıcıların fonlarını havuzlardan çekmeleri ve hiçbir şekilde para basmamaları talep edildi:

“Lütfen para basmayın. Şu anda bir ‘sonsuz basım hatası’ mevcut. Olayı soruşturuyoruz ve sebeplerini bulduğumuzu düşünüyoruz. Havuzlardan fonlarınızı çekin. En kısa sürede olayın detaylarını anlatan bir açıklama yapacağız”