Cashio – Un hacker se prend pour Jerome Powell et imprime 2 milliards de CASH
24 mars 2022 - 09:00
Temps de lecture : 4 minutes
Par Hugh B.
Difficile de trouver les mots sans se répéter lorsqu’il est question d’une nouvelle – et énième – attaque à l’encontre d’un protocole de la DeFi. Car la régularité qu’elles affichent pourrait finalement représenter l’une des seules véritables stabilités de cet écosystème. Au point de pouvoir mettre en place un classement des meilleurs rendements enregistrés par les hackers. Ces derniers ayant au moins la décence de changer régulièrement de réseau pour perpétrer leurs méfaits. Et c’est cette fois Solana qui tire le gros lot, avec une perte estimée à 50 millions de dollars pour son projet de stablecoin Cashio (CASH).
La richesse d’innovation et de développement au sein de la DeFi n’a d’égal que les attaques à répétition qui viennent en frapper l’écosystème. Et ce qui était initialement vécu comme de véritables catastrophes est rapidement devenu une simple fatalité « inévitable. » Avec des attaquants toujours plus inventifs, mais pas réellement opposés à une volonté de sécurité suffisante. Car de nombreuses failles s’offrent à eux, comme des portes béantes ouvertes vers de véritables fortunes numériques à portée de clic.
Et à l’anticipation construite sur des audits pas toujours efficaces s’est substituée une politique du constat à l’amiable assez surprenante. Car il est dorénavant bien plus souvent question de tenter de récupérer les fonds, une fois le vol effectué. Mais avant cela, le temps est à la douloureuse estimation des dégâts provoqués au sein du protocole concerné. Et les montants se comptabilisent bien souvent en dizaines de millions de dollars, comme dans le récent cas de Cashio (CASH).
Cashio – Le stablecoin CASH s’effondre
Une image est parfois plus efficace que mille mots. Et dans le cas de l’attaque dont a été victime le protocole Cashio, il s’agit de la courbe de son stablecoin CASH. Un projet de « social money » très à la mode actuellement. Ce dernier développé sur la blockchain Solana (SOL). Avec comme maxime, cette affirmation d’être « un stablecoin décentralisé fait pour le peuple, par le peuple. » Le tout agrémenté d’une blague qui sonne dorénavant comme plutôt mauvaise : « Cashio printer go brr. » Cela sans aucun doute en relation à la « politique » monétaire de type Monopoly de la Réserve fédérale américaine (Res). Mais dans le cas présent, Cashio a fait bien mieux…
Car hier et en l’espace d’une heure, le cours du stablecoin CASH s’est détaché de son ancrage à 1$ pour s’effondrer à 0,000015$. Une baisse estimée à 100% par le site CoinGecko, même si depuis il est remonté de presque 2000% pour se stabiliser à 0,0003$ environ. En cause, une attaque de type « infinite mint » qui fait très clairement penser au dollar. Car cela permet à celui qui le déclenche de créer autant de CASH qu’il le souhaite. Et ce Jerome Powell – actuel président de la Fed – du numérique ne s’est pas privé.
Cashio – Infinite mint de 2 milliards de CASH
En effet, l’opération n’aura durée que quelques heures. Avec comme porte d’entrée une procédure de validation incomplète des cryptomonnaies déposées en collatéral pour créer (mint) de nouveaux stablecoins CASH. Avec un champ « .mint » qui n’était jamais validé. Une aubaine pour le hacker qui a pu profiter de cette faille pour créer une chaîne de faux comptes. Ces derniers en mesure de passer sous les radars de contrôle, car ils n’ont été comparés qu’à eux-mêmes. Avec comme résultat, la création surréaliste de 2 milliards de CASH. Et, toujours trop tard, un avertissement publié sur le compte Twitter officiel de Cashio.
« Veuillez ne plus créer (mint) de CASH. Il y a un problème de mint infini. Nous enquêtons actuellement et nous pensons avoir trouvé la cause. Veuillez retirer vos fonds des pools. Nous publierons un post-mortem dès que possible. »
Cashio
Car pendant ce temps, le hacker a été en mesure de transformer son magot en d’autres stablecoins comme l’UST et l’USDC. Cela en passant par la plateforme décentralisée SaberSwap (SABER) sur le réseau Solana. Avec au final un montant pour le moment estimé à environ 50 millions de dollars. Ces derniers échangés contre plus de 16 000 ETH, encore visibles sur cette adresse au moment de la rédaction de cet article.
Cashio – Un hacker version Robin des Bois
Mais au final, le plus surprenant dans cette histoire est sans aucun doute le message laissé par le hacker, inscrit dans les data inputs des transactions. Ce dernier visiblement très inspiré par les aventures de Robin des Bois. Car il affirme que les fonds détournés de comptes « avec moins de 100k ont été retournés. » Mais également que « tout le reste de l’argent sera reversé à des œuvres de charité. » Difficile de croire qu’une association acceptera ce genre de versement. En particulier du fait de la traçabilité des opérations rendue possible sur la blockchain.
Quoi qu’il en soit, le post mortem promis par l’équipe du projet Cashio n’a toujours pas été livré. Et aucune confirmation officielle sur la véritable ampleur de cette attaque n’a encore été rendue publique. Cette dernière déjà placée en 13e position dans le classement du très satirique média Rekt News. Mais avec l’éventualité de voir le montant de ce préjudice baisser au profit des petits investisseurs, visiblement épargnés a posteriori. Car dans le domaine, le résultat final se calcule toujours une fois la bataille passée.
Restons connectés
7,831 followers
17,800 followers
137,000 followers
1,249 followers