Web3 se derrumba cuando la moneda estable Cashio, basada en Solana, perdió su valor después de que un atacante experimentado la explotara por alrededor de $28 millones. A medida que crece el derramamiento de sangre de los tiradores de alfombras, vale la pena discutir lo que está en juego en el panorama general.
SOL cotiza a $102 en el gráfico diario | TradingView.com
Lectura relacionada | Coinbase descarta los enlaces de criptomonedas después de las amenazas de ‘extracción de la alfombra’
Cómo pasó
Un investigador de Paradigm explicó el ataque de 50 millones de dólares.
Otro día, otro exploit de cuenta falsa de Solana. Esta vez, @CashioApp perdió alrededor de $50 millones (basado en un vistazo rápido). ¿Cómo pasó esto? pic.twitter.com/t7ThWL4zr1
– samczsun (@samczsun) 23 de marzo de 2022
Los usuarios de Cashio acuñaron el token CASH depositando tokens Sabre USDT-USDC LP como garantía. Sabre es un creador de mercado automatizado de cadena cruzada para activos vinculados en Solana.
Aunque el protocolo valida las cuentas de los poseedores de tokens, el sistema de validación de Cashio estaba incompleto porque no proporcionaba una raíz de confianza. Esto abrió la puerta a la menta infinita.
El investigador explicó además que “el atacante simplemente creó cuentas falsas hasta el final y luego las encadenó hasta que finalmente crearon una cuenta falsa de crate_collateral_tokens”.
De esta manera, pudieron acuñar tokens LP del grupo de $CASH con cualquier token, “luego quemaron tokens SaberSwap LP que se cobraron por 10.8M UST y 16.4M USDC, y los 1.97B CASH restantes se intercambiaron por 8.6M UST y 17 millones de USDC en SaberSwap”.
El precio de $CASH se desplomó y el explotador dejó un mensaje intrigante:
“Cuenta con menos de 100k ha sido devuelta. el resto del dinero se donará a obras de caridad”.
Se confirmó que el pirata informático reembolsó algunos de los fondos robados a los grupos de wUST y USDC. ¿Pero caridad? No lo creemos.
¿El Robinhood de Solana?
Joe McGill de TRM Labs está ayudando a identificar al culpable y confirmó que están trabajando con una pista proporcionada por el escritor Stefan Stankovic de Cryptobriefing, quien descubrió que el explotador podría ser un adolescente de 16 años (o eso dijo aquí) quien se hace llamar Ariusuha y ha estado involucrado en múltiples tirones de alfombra.
Hallazgos recientes muestran que la billetera del explotador, 6D7f, fue financiada por la billetera sWZs, que se vinculó previamente a las tiradas de alfombras NFT mencionadas. Doodle Dragons NFT, Balloonsville NFT y para Fine Folks. En el caso de la primera, había prometido donar $30,000 a WWF y cuando se retiró, su cuenta de Twitter, ahora eliminada, publicó este mensaje:
Entonces podemos suponer lo que sucederá con la última intención caritativa de Ariusuha.
Pero este último ataque podría haber sido demasiado grande para Ariusuha. La investigación de Stankovic encontró que Ariusuha podría tener un perfil en OpenSea, que está conectado a una billetera Ethereum previamente financiada por el intercambio centralizado FTX. Esto podría llevar fácilmente a las autoridades al atacante.
Lectura relacionada | ¿Hacker de Ethereum DAO engañado? Cómo esta herramienta Chainalysis condujo a su identidad
el peligro de web3
El ecosistema Web3 sigue viendo cómo los proyectos se tiran de la alfombra una y otra vez. Y muchos usuarios se niegan a renunciar a él, pero ¿por qué?
Muchos fanáticos de NFT/Web3 parecen ser muy jóvenes. Por lo general, les gusta presumir de ello. Centrándonos en los jóvenes por ahora, echemos un vistazo a un posible patrón de este fenómeno social moderno:
- Fanfarronería: las generaciones jóvenes parecen tener una gran presión para convertirse rápidamente en millonarios. Gana dinero rápido para que puedas publicar sobre ello. Al igual que las quejas que recibe la industria de la belleza sobre sus efectos peligrosos a través de las redes sociales, es posible que estemos viendo un caso similar con el dinero.
- Preocupaciones modernas: por otro lado, las generaciones más jóvenes enfrentan la cruda realidad de una inflación creciente y trabajos que no pagan lo suficiente. ¿Cómo proporcionar? ¿Como triunfar? Las redes sociales muestran a muchas personas que parecen haberse beneficiado mucho haciendo tan poco. Muchos no pueden evitar preguntarse: ¿por qué trabajar tanto y aún no tener suficiente para la jubilación?
- Contexto: un mundo que ya parece distópico. La pandemia, la política, la guerra, etc etc etc.
- Desesperación: cualquiera de estos escenarios, vano o no, podría ser la fuente de una desesperación silenciosa. ¿Cómo podemos hacer frente? [Scroll, scroll, post a selfie, scroll] “Tú también puedes convertirte en millonario y vivir sin preocupaciones”, promete una publicación.
- Sueños: y algo que parece divertido y colorido promete ser un proyecto como ningún otro. Afirman ser transparentes, sostenibles, el diseño parece que va a generar dinero, otros proyectos lo han hecho, y es posible que también incluyan la palabra ‘descentralizado’.
Pero no todos los usuarios pueden decir que muchos de estos proyectos tienen problemas de seguridad y son estafados. E incluso si saben que es arriesgado, esa desesperación social silenciosa podría estar ayudando a empujarlos de todos modos. Y los estafadores han aprendido a cebar una alfombra.
Si el ecosistema de Web3 no traza límites claros para evitar esto, los usuarios siempre jugarán con una espada de doble filo que eventualmente podría explotar la burbuja más grande y convertirse en las pérdidas más grandes hasta el momento.
Tal vez no solo se exploten los jpegs, sino toda la psique humana.