O Cashio, uma stablecoin baseada no blockchain Solana, sofreu um ataque hacker e tem perdas estimadas em US$ 28 milhões, o que fez com que praticamente zerasse todo o seu valor.
Mais especificamente, o Cashio Dollar (CASH) é uma stablecoin algorítmica que foi lançada por um desenvolvedor chamado 0xGhostChain em novembro de 2021. Qualquer pessoa pode criar tokens depositando tokens de liquidez para as duas stablecoins UDST e USDC da plataforma Sabre, podem resgatar a stablecoin pelos tokens de liquidez subjacentes.
Contudo, o ataque hacker ocorreu na manhã dessa quarta-feira (23), de acordo com o site de rastreamento de dados DeFi Llama. O valor total bloqueado dentro do protocolo caiu de US$ 28,87 milhões para US$ 569 mil. Ao mesmo tempo, o preço da stablecoin caiu de US$ 1 para praticamente zero, segundo o site de dados CoinGecko.
Por favor, não criem nenhum CASH. Há uma falha no ‘infinite mint’. Estamos investigando o problema e acreditamos que encontramos a causa. Por favor, retire seus fundos dos pools. Publicaremos uma avaliação o mais rápido possível”, publicou no Twitter o 0xGhostChain hoje.
Please do not mint any CASH. There is an infinite mint glitch.
We are investigating the issue and we believe we have found the root cause. Please withdraw your funds from pools. We will publish a postmortem ASAP.
— Cashio ($CASH) 💵 (@CashioApp) March 23, 2022
Uma falha de infinite mint é quando um protocolo é erroneamente projetado de tal forma que permite que um usuário crie quantos tokens quiser, normalmente sem fornecer qualquer garantia que possa ser necessária. Uma vez que alguém pode criar tokens infinitos, eles podem vendê-los no mercado, esmagando o preço de um token.
Segundo uma publicação do pesquisador da Paradigm Samczsun, o hacker pode ter coletado até US$ 50 milhões com o ataque hacker. Como eles conseguiram criar tokens, eles conseguiram também vendê-los em corretoras descentralizadas e tirar toda a liquidez de lá, além de resgatar os tokens pela garantia subjacente (representada pelo valor total bloqueado).
Por fim, eles parecem estar devolvendo uma quantia considerável dos fundos. Como o Ceteris, comerciante de criptomoedas, comentou no Twitter, eles estão devolvendo alguns dos fundos aos provedores de liquidez. Uma mensagem no blockchain enviada do endereço do hacker dizia: “contas com menos de 100k foram devolvidas. Todo o outro dinheiro será doado para caridade”; porém, isso pode ser apenas para alguns pools.