“Não temos dinheiro para pagar”, diz empresa na qual ocorreu segundo maior hack da rede Solana

Os investidores que tinham Cashio (CASH) na carteira não serão recompensados pela empresa Saber Labs pelo prejuízo que tiveram na última quarta-feira (23), quando hackers exploraram um “glitch de emissão infinita” que levou o preço da stablecoin lastreada em dólar a zero.

A Saber Labs, a plataforma que fornecia os pools de liquidez do Cashio na Solana, publicou no domingo (27) um post mortem onde assumiu que o hack foi “catastrófico”. Mesmo reconhecendo isso, a plataforma se isentou da responsabilidade de ressarcir quaisquer perdas de investidores:

“Nós pressionamos muito para que as pessoas apostassem mais no Cashio. Pedimos sinceras desculpas a todo e qualquer usuário que tenha perdido dinheiro neste hack. Não temos dinheiro para pagar de volta os depositantes”.

De acordo com a nota, usuários que tinham contas com mais de US$ 100 mil no protocolo foram atingidos, e até mesmo a própria equipe da Saber Labs diz ter ficado “seriamente afetada financeiramente” após o incidente.

A empresa ofereceu uma recompensa de US$ 100 mil para o hacker devolver à comunidade os US$ 48 milhões que roubou no segundo maior hack da história da Solana. 

Segundo a lista do Rekt, o Cashio só fica atrás do roubo de US$ 326 milhões que o protocolo Wormhole sofreu em fevereiro.

Na manhã desta segunda-feira (28), o hacker por trás do ataque decidiu atender ao pedido da comunidade e reembolsou as contas que tinham menos de 100 mil CASH nos pools de CASH/USDC e CASH/UST na Saber Labs.

“A intenção era apenas tirar dinheiro de quem não precisa, não de quem precisa. Usaremos os ganhos de eth para devolver mais fundos aos afetados, mesmo algumas contas com mais de 100k”, prometeu o invasor em mensagem embutida numa transação de Ethereum.

Como a stablecoin foi a zero

Na semana passada, a stablecoin do Cashio despencou de US$ 1 para US$ 0,0005 após um hacker explorar um bug de emissão infinita que lhe permitiu criar novos tokens CASH sem fornecer garantias, ou seja, de graça.

Geralmente, qualquer um pode emitir CASH depois de depositar a garantia nos pools de liquidez  disponíveis na plataforma Saber. 

Segundo @samczsun, pesquisador de segurança do Paradigm, o ataque foi possível porque o código da stablecoin possuía um  sistema incompleto de validação de garantias.

Antes de aceitar tokens como garantia para criar novos CASH, o contrato deveria verificar se os tokens depositados estão corretos. Porém essa parte estava incompleta no contrato da moeda, o que permitiu que o hacker criasse um contrato de raiz falso para explorar a falha e gerar novos tokens sem custo algum.

This means that ultimately, all of this validation is meaningless because there's no trusted root. The attacker just created fake accounts all the way down and then chained it all the way back up until they finally made a fake crate_collateral_tokens account. pic.twitter.com/6OhK0s2jQa

— samczsun (@samczsun) March 23, 2022

Portal do Bitcoin Summit

O primeiro evento do Portal do Bitcoin será gratuito e online! Jogos NFT, movimentações em Brasília, como receber investimentos na sua startup de criptomoedas e muito mais. Inscreva-se aqui: https://portaldobitcoin.uol.com.br/summit/