Cashio Hacker 要求受影响的用户说明他们是否希望退还资金

据悉，2022年3月23日，黑客利用不完整的抵押品验证系统铸造了$CASH，从基于Solana的Cashio协议中窃取了5200万美元，他要求流动性提供者就为什么应该退还这些资金提供理由。

肇事者要求损失超过10万美元的受害者提交一份理由，说明为什么应该退还他们的资金，称他们不会退还富裕的美国人和欧洲人，并且他们的“意图是从那些不需要的人那里拿钱，而不是从那些这样做的人那里。”黑客将此消息嵌入到周一早上以太坊交易。Cashio社区供应商使用黑客提供的模板建立了一个网站，供受害者提交回复。所有损失低于10万美元的受害者都已得到补偿。

袭击是如何发生的？

要从流动性提供商那里铸造新的$CASH代币、由USDC和Tether支持的稳定币，用户需要将超过铸造数量的抵押品存入Cashio拥有的抵押账户。存款必须通过一系列测试，以确保存放的代币与协议账户中的类型相匹配。

Cashio的智能合约检查了代币类型是否与saber_swap.arrow账户的类型匹配，但未对saber_swap.arrow账户中的“mint”参数进行检查，从而允许创建假saber_swap.arrow账户以允许伪造crate_collat​​eral_tokens账户这使得存放毫无价值的抵押品成为可能。

在使用假抵押品铸造了20亿美元现金后，攻击者提取了价值5200万美元的USDC和Tether，之后使用Paraswap和Curve将稳定币换成ETH。袭击持续了一个小时。在攻击之后，$CASH代币从预期的美元挂钩价格暴跌至几乎为零。

Sabre与Cashio合作暂停提款

在黑客攻击之后，Solana上的跨链自动化做市商Sabrer的团队暂停了对Cashio的所有提款，并与Cashio合作冻结了他们的智能合约。自动做市商是一种智能合约，它根据流动性池中不同代币的丰富性或稀缺性来调节不同代币的价格，收取代币互换（例如用ETH换成BAT）向流动性提供者付款。

去中心化金融应用程序依赖于将流动性存入流动性池的人。特定代币越多，其交换价格就越低。

Sabre团队悬赏100万美元，以获取导致袭击者被捕的信息。