Cashio DAO $CASH bị Hack – Hồi chuông cảnh tỉnh bảo mật trên Solana

Sự kiện Cashio bị hack diễn ra sắp đây đang dấy lên 1 hồi chuông báo động cực lớn dành cho khách hàng cũng như những dự án DeFi trên Solana.

Dự án vẫn đang trong quá trình điều tra, làm cho rõ vụ tấn công và chưa có thông tin chính thức. Tuy nhiên, mình cũng sẽ tổng hợp 1 số thông tin nhanh cho anh em nắm tình hình vụ việc cũng như đưa ra 1 số phân tách.

Vụ việc Cashio diễn ra như thế nào? Tổng thiệt hại là bao nhiêu cũng như hacker đã làm cho như thế nào?

Anh em hãy cùng đọc để nắm nhanh vụ việc 1 bí quyết chi tiết nhé!

Cashio DAO đã bị tấn công như thế nào?

Tóm tắt diễn biến cho anh em muốn nắm sự việc, mình có vẽ mindmap để anh em nắm rõ được những bước đi của hacker này. Có 2 nguyên nhân dẫn tới vấn đề việc Cashio DAO đã bị tấn công như sau:

  • Hacker: Hắn ta thật sự là 1 người khá am hiểu về DeFi cũng như khá nhanh nhạy trong việc tìm ra lỗi trong những dòng code. Hắn ta đã lên kế hoạch khá kĩ và biết được đâu là những hướng cần đi và thông qua cầu nối nào để rút tài sản.
  • Dự án Cashio: Tuy nhiên, 1 phần lỗi lớn nhất là tới từ Cashio lúc mà họ lại ko chú tâm vào việc xây dựng dự án có cơ chế bảo mật phải chăng nhất. Việc thiếu đi khía cạnh Root of belief làm cho cho 1 số account ko được xác thực đã tạo tiền đề quá phải chăng cho hacker ra tay.

Diễn biến vụ việc theo dòng sự kiện:

  • Ngày 23/2/2022, trên hệ Solana, cụ thể là dự án Cashio đã xuất hiện 1 vụ hack làm cho cho giá đồng stablecoin $CASH mất tỷ giá ổn định và gây thiệt hại lớn cho tài sản của nhiều người.
  • Hacker đã tận dụng 1 khe hở trong những dòng code của Cashio, cụ thể là dự án đã ko xuất bản cơ chế Root-of-trust (nguồn đáng tin cậy trong 1 hệ thống mật mã) cho đa số những account và từ ấy dẫn tới thiếu xác minh 1 số những thanh toán. Hacker đã tận dụng yếu điểm này để mint ra 2B stablecoin CASH.
  • Sau ấy hắn đã chia khoản CASH này làm cho 2 phần:
    • Swap CASH đổi lấy 8.6M UST và 17M USDC.
    • Burn CASH nhận lại USDT-USDC LP token trên Saber (mình có giải thích bí quyết hoạt động của Cashio ở bên dưới) ⇒ Withdraw để nhận về 10.8M USDT và 16.4M USDC.
  • Hắn đã swap phần lớn USDC sang ETH thông qua Jupiter.
  • Lượng ETH này đã được chuyển về những ví Ethereum thông qua Wormhole Bridge.
  • Phần UST từ việc swap CASH token đã được chuyển về những ví UST thông qua Wormhole.
  • 1 phần lượng USDC còn lại sẽ được trả lại cho những account có ít hơn < 100K USDC. Và phần còn lại sẽ được đem đi quyên góp từ thiện. (Theo 1 dòng word mà hacker này đã để lại trên contract).
  • Sự kiện này đã làm cho giá đồng stablecoin CASH bị mất tài sản đảm bảo (lượng LP token USDT-USDC thế chấp) và dẫn tới giá CASH bị mất peg. Giá của CASH từ $1 xuống chỉ còn $0.00001576, tức là bị mất giá trị lên tới hơn 99%.
  • Tổng thiệt hại ước tính của vụ việc Cashio hiện rơi vào khoảng $52.8M. Chưa nói, COW là token rewards và voting của Cashio nên cũng sẽ chịu liên quan.

Thông tin thêm về Hacker

Có 1 số fake thuyết cho rằng có 1 cậu bé 16 tuổi đã hack dự án Cashio tên là Ariusuhaaa, người có tiền án rug pull nhiều dự án NFT. Tuy nhiên, thông tin này đã bị 1 account twitter @suavae là người làm cho cùng đồng của Solana NFT bác bỏ bỏ.

Etherscan đã tương trợ đặt tên cho điạ chỉ ví này là “Cashio Exploiter” nhằm giúp việc theo dõi liên hệ ví này dễ dàng hơn.

Xem Thêm  Micro-moments Advertising and marketing là gì? “Bắt trọn khoảnh khắc” cùng chiến dịch Micro-moments Advertising and marketing

Phương pháp thức để nhận hoàn tiền từ Hacker

Trong 1 cập nhật mới nhất thì Cashio đã được hacker thông tin sẽ refund cho những account và có 1 số word như sau:

– Có sở hữu trên hoặc dưới $100k CASH ko quan yếu, quan yếu là nạn nhân thực sự cần chúng. – Những account nắm giữ CASH quản lý hay Saber CASH/USDC LP và Saber Money/ust LP đã được refund sẽ ko được refund trở lại. – Những người giàu ở Mỹ và châu Âu (nơi có thu nhập cao) sẽ ko được refund trường hợp ko cần nó.

Cashio đã ủy quyền cho 1 account có tên là “wi-fi anon” để triển khai 1 trang net mã nguồn mở (tức là có thể verify xem có mã độc nào ko) để tiếp nhận những trường hợp cần tương trợ hoàn tiền từ vụ hack 1 bí quyết đơn giản nhất.

Hyperlink truy cập trang net cho nạn nhân của vụ Cashio: Bấm vào đây!

Mẫu cấu trúc để anh em gửi lại những thông tin cho dự án tương trợ gửi hacker bao gồm 6 mục như sau:

1. Phân phối ví ETH để nhận refund bằng ETH.

2. Liên hệ ví Solanan nắm giữu CASH hay cặp CASH LP Token. Những nạn nhân Hacker ko quản lý lấy fund nhưng bị liên quan bởi những con bot ăn chênh lệch giá cũng sẽ được bồi thường vì liên quan của sự việc.

3. Ví dụ LP token được nắm giữ bởi những bên như (Sunny, Quarry) thì sẽ cần nộp transaction chứng minh anh em sở hữu LP token ấy và account anh em nắm giữ LP token ấy. Tin nhắn này cần nên được kí bởi account nắm giữ LP token ấy (giữ LP ở ví cá nhân) chứ ko nên account nắm giữ quản lý những LP token ấy (chính là Sunny, Quarry).

4.Ví dụ đã bán hoặc mua LP hay quy đổi ra CASH thì có thể đưa bằng chứng từ trước vụ hack chứng minh phần anh em nắm giữ.

5. Phân phối số tiền cần được hoàn trả.

6. Phân phối 1 lí do về nguồn tiền anh em đang có và tại sao lại cần nó lại, càng chi tiết càng phải chăng.

Lưu ý: Mọi những thông tin này cần nên được kí bằng ví cá nhân chính chủ của CASH hay LP token đã stake khoản tiền vào Quarry và Sunny. Việc kí thiếu thông tin hay ko hoàn thiện sẽ ko được refund và có khả năng sẽ ko được hoàn trả toàn phần.

Dự án Cashio sẽ sớm đăng thông tin chỉ dẫn thao tác nhăm giúp khách hàng gửi bản xác nhận hoàn tiền 1 bí quyết chính xác nhất!

Giải thích về bí quyết hoạt động của Cashio

Cashio có bí quyết mint stalecoin khá đặc biệt là khách hàng sẽ add 1 cặp thanh khoản (hiện chỉ cho phép USDT-USDC trên Saber) và thế chấp chúng để mint ra stablecoins CASH có giá trị tương ứng.

Cặp thanh khoản USDT-USDC được deposit vào Cashio để thế chấp sẽ được dự án đem sang những ứng dụng farming như Sunny Aggregators hay Quarry để farm và nhận về phần thưởng là Saber token – SBR và Sunny token – SUNNY.

Công dụng hiện tại của CASH là:

  • Swap 1:1 có những stablecoin khác trên Solana.
  • Swap có 1 số token khác.
  • Add thanh khoản 1 bên cùng có 1 token khác để tạo thành 1 cặp thanh khoản và farm để có COW trên Saber (đây là bí quyết mà Cashio nâng cao use case cho stablecoin CASH) dùng cho việc bỏ phiếu bầu chọn ngược lại cho việc nâng cao phần thưởng cho swimming pools SBR-SUNNY trên TribecaDAO.

Những trường hợp làm cho CASH bị mất peg

Anh em hiểu đơn giản là để giữ giá peg – neo theo đô la Mỹ thì 1$ CASH = 1$ USDT-USDC thế chấp vào Treasury.

Sẽ có cha trường hợp như sau:

  • TH1: Lượng CASH được mint quá nhiều mà ko có USDT-USDC thế chấp vào 1 khoản tương ứng. Theo lý thuyết, điều này ko thể xảy ra, trừ lúc dự án bị lỗi.
  • TH2: Giá của USDT, USDC bị mất peg mà hệ thống oracle hay truy xuất dữ liệu giá chưa kịp ghi nhận (trường hợp này siêu khó diễn ra vì USDT, USDC quá ổn định và siêu khó để mất peg).
  • TH3: Chủ dự án hay hacker hack và rút lượng USDT-USDC trong treasury đi ⇒ CASH = ko có tài sản nào đảm bảo.

⇒ Thì vụ án này thuộc trường hợp 1 lúc mà hacker đã khai thác lỗ hổng và mint ra 1 lượng stablecoin CASH từ “ko khí” và làm cho cho CASH bị mất peg.

Xem Thêm  What's Secret Community Pockets? How lớn use Secret Community Pockets

Những “nạn nhân” chịu liên quan ở vùng đất tối “Exploit” trên Crypto

Ví dụ anh em đã tham dự vào thị trường Crypto này, anh em sẽ ko thể nào biết được lúc nào mình sẽ trở nên nạn nhân và từng rơi vào vùng đất tối của thị trường. Bởi vì cho dù anh em có kinh nghiệm tới bí quyết mấy thì 1 số lỗi từ phía giao thức hay dự án sẽ làm cho những con “quái vật” hacker đang trực chờ tìm thời cơ để vồ lấy túi tiền của anh em.

Bên dưới là những bên chịu liên quan từ vụ việc lần này của Cashio bao gồm:

  • Những người maintain, farming, add thanh khoản dùng CASH.
  • Dự án Cashio.
  • Những AMM trên Solana nói chung như Jupiter, Saros, Sencha, Saber, v.v… (lúc bao gồm thêm những trường hợp arbitrage và tận dụng tỉ lệ mất peg của CASH để chuộc lợi như những case MEV bên dưới).

Người dùng CASH để nắm giữ, farm, add thanh khoản

Vì stablecoin CASH bị mất giá neo có đồng đô la Mỹ nên những ai nắm giữ, farming, add thanh khoản đều sẽ chịu liên quan bởi việc mất giá của CASH. 1 số trường hợp nắm giữ CASH trong ví đã được refund bằng USDC nhưng vì use case của CASH vẫn chủ yếu để farm nhận rewards để vote (nhằm nâng cao thêm rewards cho họ) nên số lượng khách hàng chịu thiệt hại nặng nề là siêu lớn.

Trong ấy có mình!

Dự án Cashio

Dự án Cashio là nhân vật chính và đã bị mất uy tín đi khá nhiều. Điều này liên quan lớn tới sự vươn lên là của giao thức trong tương lai. Và trường hợp fake thuyết về việc Cashio đã bị hack bởi 1 câu bé 16 tuổi thì đội developer của Cashio siêu cần nên xem lại năng lực của đội ngũ này.

Tuy nhiên, việc ko trang bị đủ sự bảo mật và để xảy ra thiếu sót cho dự án thì Cashio cần nên chịu trách nhiệm lớn cho những bên có liên quan trong vụ việc này.

Tính tới thời điểm hiện tại, tức là bí quyết ngày diễn ra vụ việc được hơn 2 ngày, Cashio vẫn chưa ra thêm bất kì cập nhật nào để trấn an khách hàng cũng như lời xin lỗi tới những bên liên quan cùng chịu liên quan. Theo cá nhân mình, đội ngũ Cashio ko thật sự nhận thức rõ được tính nghiêm trọng của vụ việc và nạn nhân chịu thiệt hại là khách hàng.

Những AMM trên Solana

Những AMM trên Solana là 1 trong những nạn nhân gián tiếp chịu liên quan từ sự kiện lần này vì họ chấp nhận thanh toán CASH. Đồng thời dự án cũng cho phép ghép CASH và token khác để phân phối thanh khoản

Đem sang Quarry farm ra COW.

→ Dùng COW để vote cho pool chứa CASH của Saros.

→ Nhằm lôi kéo khách hàng cho dự án của mình bằng bí quyết tranh phần thưởng trên Tribeca DAO.

Hệ sinh thái Solana

Những sự việc như thế này thì quy mô của nó so có toàn bộ hệ sinh thái Solana là bé nên tưởng chừng như ko liên quan nhiều. Tuy nhiên, nhiều vụ exploit sắp đây có liên quan tới hệ Solana và thậm chí nó liên quan dây chuyền lên những giao thức khác. Điều này sẽ làm cho bộ mặt của DeFi trên Solana đang bị đặt siêu nhiều nghi vấn.

Câu hỏi: Liệu Solana có nên là 1 nơi đáng tin tưởng để khách hàng bỏ tài sản của họ vào và trải nghiệm trong lúc lợi nhuận chưa thấy nhưng tiềm tàng khả năng bị hack luôn hiện diện?

Những người đứng bên cạnh vụ việc sẽ có tâm lý e dè hơn, những người chịu nạn thì chắc chắn ko thể giữ được niềm tin có hệ sinh thái.

Những arbitrage trục lợi từ vụ việc Cashio bị hack như thế nào?

Có 1 số thành phần “xấu xa” cũng đã “mượn gió bẻ măng” và tận dụng lỗ hổng từ việc hack để trục lợi nhằm tận dụng việc chênh lệch giá. Họ thậm chí đã kiếm được khá nhiều nghìn đô chỉ từ vài trăm đô.

Như 1 Case mình sẽ phân tách dưới đây đã tận dụng vụ hack của Cashio để biến $200 trở nên $100K, mức lợi nhuận 500 lần.

Vậy họ làm cho điều này bằng bí quyết nào?

Anh em nhìn vào hình bên trên sẽ thấy chỉ từ số vốn là 200 USDC, những người này đã tận dụng lúc stablecoin CASH bị mất giá nghiêm trọng (từ $1 xuống chỉ còn $0.000015) trong lúc ấy 1 số sàn AMM dùng dữ liệu giá từ oracle vẫn chưa kịp ghi nhận số liệu này.

Xem Thêm  Mở store quần áo trẻ em cần bao nhiêu vốn?

Lợi dụng lúc này, những người này đã làm cho như sau:

  • Swap từ 200 USDC để đổi lấy hơn 17M CASH (như thông thường thì 200 USDC chỉ đổi được tầm 200 CASH).
  • Swap 17M CASH ra 208,706.41 đồng C98 (đây là lúc oracle chưa kịp ghi nhận giá lúc đã bị giảm của CASH và vẫn cho quy đổi sang C98 có charge khá cao). Ví dụ tính đúng và lấy giá CASH khoảng trung bình là ~ $0.00005. Sở hữu 17M CASH, sẽ chỉ đổi được khoảng 850 C98. Mức chênh lệch giữa 208K C98 và 850 C98 là vô cùng lớn.

Còn siêu nhiều trường hợp khác diễn ra trên Saros Finance, Sencha, thậm chí Saber cũng chịu bị tình cảnh tương tự.

Hồi chuông cảnh tỉnh cho bảo mật trên Solana

Những vụ hack sắp đây trên Solana như Wormhole đã cho thấy blockchain này vươn lên là quá nhanh và khía cạnh bảo mật đã và đang chưa nhận được sự chú ý đúng mức cho tới lúc có thiệt hại xảy ra – và khách hàng là huyết thanh để hệ sinh thái vươn lên là lại là người mất tiền.

Mình nghĩ Solana trong thời kì tới cần siết chặt hoặc có những biện pháp nhằm gia nâng cao tính bảo mật trên hệ. Bằng ko việc lòng tin của khách hàng sẽ bị vơi đi sau những vụ hack liên tục sắp đây là ko thể hạn chế khỏi.

Vụ việc lần trước của Wormhole sẽ khác siêu nhiều so có vụ việc lần này lúc mà Wormhole Exploited và hacker đã khai thác lỗ hổng của bridge này để chuộc lợi và hệ quả là WETH bị mất peg so có ETH. Could thay, có 1 thế lực là Leap Crypto đã giúp Wormhole bơm tiền trở lại có trị giá khoảng $300M để duy trì peg.

Đây là 1 trường hợp mang mục đích cứu rỗi dự án nhằm bảo vệ lợi ích của tổ chức này.

Thế nhưng, có trường hợp của Cashio, ai sẽ là người ra tay cứu giúp? Sở hữu giá trị thiệt hại ước tính rơi vào khoảng $52.8M và hơn thế – 1 con số siêu lớn.

Bài học có khách hàng retail

Có 1 câu mà mình đã nghe siêu nhiều nhưng ko hề thấm, ấy chính là: Đừng bao giờ “All In”, bán sổ đỏ hay tất tay!

Đối có thị trường Crypto và đặc biệt là có việc “Pores and skin within the recreation” nhằm kiếm tìm thời cơ lợi nhuận ở sâu bên trong những hệ sinh thái thì điều này càng nguy hiểm hơn nữa. Bây giờ thì mình đã thực sự “thấm” câu nói này siêu nhiều, siêu nhiều và siêu nhiều.

Sau những gì mà mình đã trải qua, chiêm nghiệm từ thị trường cũng như học hỏi từ mọi người thì mình xin đúc kết cho anh em 1 số lời khuyên như sau:

  • Đừng bao giờ “All In”, sợ bỏ lỡ thời cơ cũng được ko sao cả.
  • Đừng để mất tiền, vì còn tiền thì thời cơ vẫn còn ấy, nghĩa là còn nước còn tát.
  • Hãy khởi đầu có số vốn bé nhất dành cho việc trải nghiệm những sản phẩm DeFi hay nói cả là việc nắm giữ token.
  • Trang bị thêm tri thức trước những cuộc tấn công (thí dụ: đọc thêm những bài liên quan tới chủ đề Exploited, Rug Pull mà đội ngũ Coin98 đã viết khá nhiều).
  • Hãy trải nghiệm để có thêm kinh nghiệm hoặc học từ chính kinh nghiệm của những tiền bối (chỉ ứng dụng cho anh em ưu thích tham dự skin-in-the-game).

Điều bắt buộc là nên nghiên cứu kỹ 1 dự án ấy để có quyết định xuống tiền để tham dự và kiếm tìm thời cơ trên thị trường. Đồng thời có ấy, anh em cần nhận thức những rủi ro và sau ấy lấy những case từ những nạn nhân làm cho bài học cho mình.

  • Hãy tham dự vào những dự án được nhiều bên audit hoặc được audit nhiều lần nhằm hạn chế trường hợp “đi cửa sau” của 1 số dự án ⇒ Giảm thiểu khả năng bị tấn công.

Kết luận

Trên đây là những tổng hợp của mình từ việc quan sát và phân tách vụ việc của Cashio. Anh em có thể tìm đọc những bài viết liên quan tới những sự kiện Hacks, Exploit để nắm rõ từng chân tơ kẽ tóc những phương pháp mà những hacker dùng để lên phương án phòng hờ cho tài sản của mình nhé!