El precio de Cashio (CASH) se desploma mientras el responsable del ataque revela que no reembolsará a “estadounidenses y europeos adinerados”. Los desarrolladores de Cashio y Sabre publicaron más detalles sobre el reciente exploit de más de $52 millones.
Cashio (CASH), una stablecoin descentralizada desarrollada sobre la red Solana, es la última gran víctima de hackeo en la industria blockchain. Una vulnerabilidad de acuñación infinita en su código, permitió a un hacker acuñar 2.000 millones de CASH sin garantía alguna. El hacker intercambió los CASH acuñados por otras stablecoins en el DEX Sabre, robando cerca de 52,8 millones de dólares. Los fondos fueron intercambiados nuevamente a ETH utilizando los protocolos ParaSwap y Curve Finance, según indican los informes.
El millonario exploit ha hecho caer el valor de Cashio (CASH) prácticamente a $0, como muestra la plataforma de monitorización de precios de criptomonedas CoinGecko.
La stablecoin CASH ha pasado de un valor de 1 dólar a 0,00008 dólares al momento de la redacción de este artículo.
El hacker ha publicado un mensaje sobre las acciones que siguen mientras que los desarrolladores de Sabre revelaron más detalles sobre lo sucedido. En su informe post mortem, ofrecieron una recompensa de 1 millón de dólares por dar con el paradero del hacker o de los fondos robados.
Te puede interesar: La liquidez depositada en Deus Finance cae 9% tras sufrir un exploit de $3 millones
¿Cómo ocurrió el exploit de Cashio (CASH)?
El informe de Saber Labs indica que el hacker aprovechó una vulnerabilidad de validación de cuenta en Cashio.app para crear cuentas falsas y atacar el contrato que controlaba la acuñación de CASH. De esta manera, el atacante pudo acuñar una inmensa cantidad de CASH sin los depósitos de garantía requeridos en USDT y USDC.
Al percatarse del ataque, los desarrolladores detuvieron los contratos inteligentes del protocolo mientras que congelaron los intercambios y los retiros en Sabre. Otras plataformas de intercambio de criptomonedas también fueron alertadas sobre el exploit a Cashio, en un intento por detener el robo de los fondos. No obstante, como señalan en el informe, “el equipo comenzó a investigar y se dio cuenta de que el daño ya estaba hecho”.
En Twitter, el protocolo advirtió a los usuarios sobre el exploit, indicando que debían retirar sus fondos del protocolo y de las pools de liquidez.
El mensaje del hacker para la criptocomunidad
Ahora, el hacker ha enviado un mensaje a la criptocomunidad sobre el reembolso de los fondos robados. Dicho mensaje indica que aquellos usuarios con fondos inferiores a los 100.000 dólares ya han sido reembolsados y que algunos otros con fondos superiores a este valor podrán recibir su dinero de vuelta en las próximas semanas.
Sin embargo, el hacker ha señalado que no devolverá el dinero a estadounidenses y europeos adinerados, “que no necesitan” los fondos de vuelta. En su mensaje, indica que elegirá “quien recibe el reembolso. Puede ser que reciba toda la devolución o parte de ella o ninguna”.
Los usuarios que han sido afectados por el hackeo deben explicar de dónde proviene el dinero y por qué necesitan los fondos de vuelta, según las condiciones señaladas por el atacante en su mensaje.
Desde Cashio, los desarrolladores han creado un portal para ayudar a estos usuarios a enviar sus solicitudes de reembolso de manera correcta, ya que el atacante también indicó que una solicitud con información incompleta o una firma incorrecta resultará en “la no devolución” de los fondos.
“La intención era sólo tomar el dinero de los que no lo necesitan, no de los que lo hacen”, indica el mensaje, señalando que se utilizará ETH para reembolsar a los usuarios según las condiciones impuestas.
Auditorías más estrictas en DeFi
Como resultado del ataque, los desarrolladores de Cashio reconocieron la necesidad e importancia de establecer auditorías más estrictas a los protocolos que de desarrollan dentro del ecosistema de las finanzas descentralizadas (DeFi) para proteger mejor a sus usuarios.
“Saber que no logramos detectar este exploit de uno de los activos enumerados en Sabre y perdimos su confianza es una de las partes más difíciles para nosotros”, dijeron los desarrolladores.
Al momento del exploit, el equipo informó que estaba dispuesto a negociar con el hacker para la devolución de los fondos. Además, señaló que implementarían un programa de recompensas por errores de 1 millón de dólares para detectar vulnerabilidades en Sabre. Para mejorar la seguridad, dijeron que evitarán las actualizaciones y que todos los contratos inteligentes serán revisados por firmas auditoras autorizadas.
Continúa leyendo: Samsung y Mercado Libre confirman una violación de datos a sus códigos fuente