Cashio DAO $CASH bị Hack - Hồi chuông cảnh tỉnh bảo mật trên Solana
Sự kiện Cashio bị hack diễn ra gần đây đang dấy lên một hồi chuông báo động cực lớn dành cho người dùng cũng như các dự án DeFi trên Solana.
Dự án vẫn đang trong quá trình điều tra, làm rõ vụ tấn công và chưa có thông báo chính thức. Tuy nhiên, mình cũng sẽ tổng hợp một số thông tin nhanh cho anh em nắm tình hình vụ việc cũng như đưa ra một số phân tích.
Vụ việc Cashio diễn ra như thế nào? Tổng thiệt hại là bao nhiêu cũng như hacker đã làm như thế nào?
Anh em hãy cùng đọc để nắm nhanh vụ việc một cách chi tiết nhé!
Cashio DAO đã bị tấn công như thế nào?
Tóm tắt diễn biến cho anh em muốn nắm sự việc, mình có vẽ mindmap để anh em nắm rõ được các bước đi của hacker này. Có 2 nguyên nhân dẫn đến vấn đề việc Cashio DAO đã bị tấn công như sau:
- Hacker: Hắn ta thật sự là một người khá am hiểu về DeFi cũng như khá nhanh nhạy trong việc tìm ra lỗi trong các dòng code. Hắn ta đã lên kế hoạch khá kĩ và biết được đâu là những hướng cần đi và thông qua cầu nối nào để rút tài sản.
- Dự án Cashio: Tuy nhiên, một phần lỗi lớn nhất là đến từ Cashio khi mà họ lại không chú tâm vào việc xây dựng dự án với cơ chế bảo mật tốt nhất. Việc thiếu đi yếu tố Root of trust khiến cho một số tài khoản không được xác thực đã tạo tiền đề quá tốt cho hacker ra tay.
Diễn biến vụ việc theo dòng sự kiện:
- Ngày 23/2/2022, trên hệ Solana, cụ thể là dự án Cashio đã xuất hiện một vụ hack khiến cho giá đồng stablecoin $CASH mất tỷ giá ổn định và gây thiệt hại lớn cho tài sản của nhiều người.
- Hacker đã tận dụng một khe hở trong các dòng code của Cashio, cụ thể là dự án đã không xuất bản cơ chế Root-of-trust (nguồn đáng tin cậy trong một hệ thống mật mã) cho tất cả các tài khoản và từ đó dẫn đến thiếu xác minh một số các giao dịch. Hacker đã tận dụng yếu điểm này để mint ra 2B stablecoin CASH.
- Sau đó hắn đã chia khoản CASH này làm hai phần: Swap CASH đổi lấy 8.6M UST và 17M USDC.Burn CASH nhận lại USDT-USDC LP token trên Saber (mình có giải thích cách hoạt động của Cashio ở bên dưới) ⇒ Withdraw để nhận về 10.8M USDT và 16.4M USDC.
- Hắn đã swap phần lớn USDC sang ETH thông qua Jupiter.
- Lượng ETH này đã được chuyển về các ví Ethereum thông qua Wormhole Bridge.
- Phần UST từ việc swap CASH token đã được chuyển về các ví UST thông qua Wormhole.
- Một phần lượng USDC còn lại sẽ được trả lại cho các tài khoản có ít hơn < 100K USDC. Và phần còn lại sẽ được đem đi quyên góp từ thiện. (Theo một dòng note mà hacker này đã để lại trên contract).
- Sự kiện này đã khiến giá đồng stablecoin CASH bị mất tài sản đảm bảo (lượng LP token USDT-USDC thế chấp) và dẫn đến giá CASH bị mất peg. Giá của CASH từ $1 xuống chỉ còn $0.00001576, tức là bị mất giá trị lên đến hơn 99%.
- Tổng thiệt hại ước tính của vụ việc Cashio hiện rơi vào khoảng $52.8M. Chưa kể, COW là token rewards và voting của Cashio nên cũng sẽ chịu ảnh hưởng.
Thông tin thêm về Hacker
Có một số giả thuyết cho rằng có một cậu bé 16 tuổi đã hack dự án Cashio tên là Ariusuhaaa, người có tiền án rug pull nhiều dự án NFT. Tuy nhiên, thông tin này đã bị một tài khoản twitter @suavae là người làm cộng đồng của Solana NFT bác bỏ.
Etherscan đã hỗ trợ đặt tên cho điạ chỉ ví này là “Cashio Exploiter” nhằm giúp việc theo dõi địa chỉ ví này dễ dàng hơn.
Cách thức để nhận hoàn tiền từ Hacker
Trong một cập nhật mới nhất thì Cashio đã được hacker thông báo sẽ refund cho những tài khoản và có một số note như sau:
- Có sở hữu trên hoặc dưới $100k CASH không quan trọng, quan trọng là nạn nhân thực sự cần chúng. - Những tài khoản nắm giữ CASH trực tiếp hay Saber CASH/USDC LP và Saber Cash/ust LP đã được refund sẽ không được refund trở lại. - Những người giàu ở Mỹ và châu Âu (nơi có thu nhập cao) sẽ không được refund nếu không cần nó.
Cashio đã ủy quyền cho một tài khoản có tên là "wireless anon" để triển khai một trang web mã nguồn mở (tức là có thể check xem có mã độc nào không) để tiếp nhận các trường hợp cần hỗ trợ hoàn tiền từ vụ hack một cách đơn giản nhất.
Link truy cập trang web cho nạn nhân của vụ Cashio: Bấm vào đây!
Mẫu cấu trúc để anh em gửi lại các thông tin cho dự án hỗ trợ gửi hacker bao gồm 6 mục như sau:
1. Cung cấp ví ETH để nhận refund bằng ETH.
2. Địa chỉ ví Solanan nắm giữu CASH hay cặp CASH LP Token. Những nạn nhân Hacker không trực tiếp lấy fund nhưng bị ảnh hưởng bởi những con bot ăn chênh lệch giá cũng sẽ được bồi thường vì ảnh hưởng của sự việc.
3. Nếu LP token được nắm giữ bởi các bên như (Sunny, Quarry) thì sẽ cần nộp transaction chứng minh anh em sở hữu LP token đó và tài khoản anh em nắm giữ LP token đó. Tin nhắn này cần phải được kí bởi tài khoản nắm giữ LP token đó (giữ LP ở ví cá nhân) chứ không phải tài khoản nắm giữ trực tiếp các LP token đó (chính là Sunny, Quarry).
4.Nếu đã bán hoặc mua LP hay quy đổi ra CASH thì có thể đưa bằng chứng từ trước vụ hack chứng minh phần anh em nắm giữ.
5. Cung cấp số tiền cần được hoàn trả.
6. Cung cấp một lí do về nguồn tiền anh em đang có và tại sao lại cần nó lại, càng chi tiết càng tốt.
Lưu ý: Tất cả các thông tin này cần phải được kí bằng ví cá nhân chính chủ của CASH hay LP token đã stake khoản tiền vào Quarry và Sunny. Việc kí thiếu thông tin hay không hoàn thiện sẽ không được refund và có khả năng sẽ không được hoàn trả toàn phần.
Dự án Cashio sẽ sớm đăng thông tin hướng dẫn thao tác nhăm giúp người dùng gửi bản xác nhận hoàn tiền một cách chính xác nhất!
Giải thích về cách hoạt động của Cashio
Cashio có cách mint stalecoin khá đặc biệt là người dùng sẽ add một cặp thanh khoản (hiện chỉ cho phép USDT-USDC trên Saber) và thế chấp chúng để mint ra stablecoins CASH với giá trị tương ứng.
Cặp thanh khoản USDT-USDC được deposit vào Cashio để thế chấp sẽ được dự án đem sang các nền tảng farming như Sunny Aggregators hay Quarry để farm và nhận về phần thưởng là Saber token - SBR và Sunny token - SUNNY.
Công dụng hiện tại của CASH là:
- Swap 1:1 với các stablecoin khác trên Solana.
- Swap với một số token khác.
- Add thanh khoản 1 bên cùng với một token khác để tạo thành 1 cặp thanh khoản và farm để có COW trên Saber (đây là cách mà Cashio tăng use case cho stablecoin CASH) dùng cho việc bỏ phiếu bầu chọn ngược lại cho việc tăng phần thưởng cho pools SBR-SUNNY trên TribecaDAO.
Các trường hợp khiến CASH bị mất peg
Anh em hiểu đơn giản là để giữ giá peg - neo theo đô la Mỹ thì 1$ CASH = 1$ USDT-USDC thế chấp vào Treasury.
Sẽ có ba trường hợp như sau:
- TH1: Lượng CASH được mint quá nhiều mà không có USDT-USDC thế chấp vào một khoản tương ứng. Theo lý thuyết, điều này không thể xảy ra, trừ khi dự án bị lỗi.
- TH2: Giá của USDT, USDC bị mất peg mà hệ thống oracle hay truy xuất dữ liệu giá chưa kịp ghi nhận (trường hợp này rất khó diễn ra vì USDT, USDC quá ổn định và rất khó để mất peg).
- TH3: Chủ dự án hay hacker hack và rút lượng USDT-USDC trong treasury đi ⇒ CASH = không có tài sản nào đảm bảo.
⇒ Thì vụ án này thuộc trường hợp 1 khi mà hacker đã khai thác lỗ hổng và mint ra một lượng stablecoin CASH từ “không khí” và khiến cho CASH bị mất peg.
Những “nạn nhân” chịu ảnh hưởng ở vùng đất tối “Exploit” trên Crypto
Nếu anh em đã tham gia vào thị trường Crypto này, anh em sẽ không thể nào biết được khi nào mình sẽ trở thành nạn nhân và từng rơi vào vùng đất tối của thị trường. Bởi vì cho dù anh em có kinh nghiệm đến cách mấy thì một số lỗi từ phía giao thức hay dự án sẽ khiến những con “quái vật” hacker đang trực chờ tìm cơ hội để vồ lấy túi tiền của anh em.
Bên dưới là những bên chịu ảnh hưởng từ vụ việc lần này của Cashio bao gồm:
- Những người hold, farming, add thanh khoản sử dụng CASH.
- Dự án Cashio.
- Các AMM trên Solana nói chung như Jupiter, Saros, Sencha, Saber, v.v... (khi bao gồm thêm các trường hợp arbitrage và tận dụng tỉ lệ mất peg của CASH để chuộc lợi như các case MEV bên dưới).
Người sử dụng CASH để nắm giữ, farm, add thanh khoản
Vì stablecoin CASH bị mất giá neo với đồng đô la Mỹ nên những ai nắm giữ, farming, add thanh khoản đều sẽ chịu ảnh hưởng bởi việc mất giá của CASH. Một số trường hợp nắm giữ CASH trong ví đã được refund bằng USDC nhưng vì use case của CASH vẫn chủ yếu để farm nhận rewards để vote (nhằm tăng thêm rewards cho họ) nên số lượng người dùng chịu thiệt hại nặng nề là rất lớn.
Trong đó có mình!
Dự án Cashio
Dự án Cashio là nhân vật chính và đã bị mất uy tín đi khá nhiều. Điều này ảnh hưởng lớn đến sự phát triển của giao thức trong tương lai. Và nếu giả thuyết về việc Cashio đã bị hack bởi một câu bé 16 tuổi thì đội developer của Cashio rất cần phải xem lại năng lực của đội ngũ này.
Tuy nhiên, việc không trang bị đủ sự bảo mật và để xảy ra thiếu sót cho dự án thì Cashio cần phải chịu trách nhiệm lớn cho những bên có liên quan trong vụ việc này.
Tính tới thời điểm hiện tại, tức là cách ngày diễn ra vụ việc được hơn 2 ngày, Cashio vẫn chưa ra thêm bất kì cập nhật nào để trấn an người dùng cũng như lời xin lỗi đến các bên liên quan cùng chịu ảnh hưởng. Theo cá nhân mình, đội ngũ Cashio không thật sự nhận thức rõ được tính nghiêm trọng của vụ việc và nạn nhân chịu thiệt hại là người dùng.
Các AMM trên Solana
Các AMM trên Solana là một trong những nạn nhân gián tiếp chịu ảnh hưởng từ sự kiện lần này vì họ chấp nhận giao dịch CASH. Đồng thời dự án cũng cho phép ghép CASH và token khác để cung cấp thanh khoản
→ Đem sang Quarry farm ra COW.
→ Dùng COW để vote cho pool chứa CASH của Saros.
→ Nhằm thu hút người dùng cho dự án của mình bằng cách tranh phần thưởng trên Tribeca DAO.
Hệ sinh thái Solana
Những sự việc như thế này thì quy mô của nó so với toàn bộ hệ sinh thái Solana là nhỏ nên tưởng chừng như không ảnh hưởng nhiều. Tuy nhiên, nhiều vụ exploit gần đây có liên quan đến hệ Solana và thậm chí nó ảnh hưởng dây chuyền lên các giao thức khác. Điều này sẽ khiến bộ mặt của DeFi trên Solana đang bị đặt rất nhiều nghi vấn.
Câu hỏi: Liệu Solana có phải là một nơi đáng tin tưởng để người dùng bỏ tài sản của họ vào và trải nghiệm trong khi lợi nhuận chưa thấy nhưng tiềm tàng khả năng bị hack luôn hiện diện?
Những người đứng ngoài vụ việc sẽ có tâm lý e dè hơn, những người chịu nạn thì chắc chắn không thể giữ được niềm tin với hệ sinh thái.
Các arbitrage trục lợi từ vụ việc Cashio bị hack như thế nào?
Có một số thành phần “xấu xa” cũng đã “mượn gió bẻ măng” và tận dụng lỗ hổng từ việc hack để trục lợi nhằm tận dụng việc chênh lệch giá. Họ thậm chí đã kiếm được khá nhiều nghìn đô chỉ từ vài trăm đô.
Như một Case mình sẽ phân tích dưới đây đã tận dụng vụ hack của Cashio để biến $200 trở thành $100K, mức lợi nhuận 500 lần.
Vậy họ làm điều này bằng cách nào?
Anh em nhìn vào hình bên trên sẽ thấy chỉ từ số vốn là 200 USDC, những người này đã tận dụng lúc stablecoin CASH bị mất giá nghiêm trọng (từ $1 xuống chỉ còn $0.000015) trong khi đó một số sàn AMM sử dụng dữ liệu giá từ oracle vẫn chưa kịp ghi nhận số liệu này.
Lợi dụng lúc này, những người này đã làm như sau:
- Swap từ 200 USDC để đổi lấy hơn 17M CASH (như thông thường thì 200 USDC chỉ đổi được tầm 200 CASH).
- Swap 17M CASH ra 208,706.41 đồng C98 (đây là lúc oracle chưa kịp ghi nhận giá khi đã bị giảm của CASH và vẫn cho quy đổi sang C98 với rate khá cao). Nếu tính đúng và lấy giá CASH khoảng trung bình là ~ $0.00005. Với 17M CASH, sẽ chỉ đổi được khoảng 850 C98. Mức chênh lệch giữa 208K C98 và 850 C98 là vô cùng lớn.
Còn rất nhiều trường hợp khác diễn ra trên Saros Finance, Sencha, thậm chí Saber cũng chịu bị tình cảnh tương tự.
Hồi chuông cảnh tỉnh cho bảo mật trên Solana
Các vụ hack gần đây trên Solana như Wormhole đã cho thấy blockchain này phát triển quá nhanh và yếu tố bảo mật đã và đang chưa nhận được sự chú ý đúng mức cho đến khi có thiệt hại xảy ra - và người dùng là huyết thanh để hệ sinh thái phát triển lại là người mất tiền.
Mình nghĩ Solana trong thời gian tới cần siết chặt hoặc có những biện pháp nhằm gia tăng tính bảo mật trên hệ. Bằng không việc lòng tin của người dùng sẽ bị vơi đi sau những vụ hack liên tiếp gần đây là không thể tránh khỏi.
Vụ việc lần trước của Wormhole sẽ khác rất nhiều so với vụ việc lần này khi mà Wormhole Exploited và hacker đã khai thác lỗ hổng của bridge này để chuộc lợi và hệ quả là WETH bị mất peg so với ETH. May thay, có một thế lực là Jump Crypto đã giúp Wormhole bơm tiền trở lại với trị giá khoảng $300M để duy trì peg.
Đây là một trường hợp mang mục đích cứu rỗi dự án nhằm bảo vệ lợi ích của tổ chức này.
Thế nhưng, với trường hợp của Cashio, ai sẽ là người ra tay cứu giúp? Với giá trị thiệt hại ước tính rơi vào khoảng $52.8M và hơn thế - một con số rất lớn.
Bài học với người dùng retail
Có một câu mà mình đã nghe rất nhiều nhưng không hề thấm, đó chính là: Đừng bao giờ “All In”, bán sổ đỏ hay tất tay!
Đối với thị trường Crypto và đặc biệt là với việc “Skin in the game” nhằm tìm kiếm cơ hội lợi nhuận ở sâu bên trong các hệ sinh thái thì điều này càng nguy hiểm hơn nữa. Bây giờ thì mình đã thực sự “thấm” câu nói này rất nhiều, rất nhiều và rất nhiều.
Sau những gì mà mình đã trải qua, chiêm nghiệm từ thị trường cũng như học hỏi từ mọi người thì mình xin đúc kết cho anh em một số lời khuyên như sau:
- Đừng bao giờ “All In”, sợ bỏ lỡ cơ hội cũng được không sao cả.
- Đừng để mất tiền, vì còn tiền thì cơ hội vẫn còn đó, nghĩa là còn nước còn tát.
- Hãy bắt đầu với số vốn nhỏ nhất dành cho việc trải nghiệm các sản phẩm DeFi hay kể cả là việc nắm giữ token.
- Trang bị thêm kiến thức trước các cuộc tấn công (ví dụ: đọc thêm các bài liên quan đến chủ đề Exploited, Rug Pull mà đội ngũ Coin98 đã viết khá nhiều).
- Hãy trải nghiệm để có thêm kinh nghiệm hoặc học từ chính kinh nghiệm của những tiền bối (chỉ áp dụng cho anh em ưu thích tham gia skin-in-the-game).
Điều bắt buộc là phải nghiên cứu kỹ một dự án đó để có quyết định xuống tiền để tham gia và tìm kiếm cơ hội trên thị trường. Song song với đó, anh em cần nhận thức những rủi ro và sau đó lấy những case từ những nạn nhân làm bài học cho mình.
- Hãy tham gia vào những dự án được nhiều bên audit hoặc được audit nhiều lần nhằm tránh trường hợp “đi cửa sau” của một số dự án ⇒ Giảm thiểu khả năng bị tấn công.
Kết luận
Trên đây là những tổng hợp của mình từ việc quan sát và phân tích vụ việc của Cashio. Anh em có thể tìm đọc những bài viết liên quan đến các sự kiện Hacks, Exploit để nắm rõ từng chân tơ kẽ tóc các phương pháp mà các hacker sử dụng để lên phương án phòng hờ cho tài sản của mình nhé!