Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 084Fallo de smart contract

Glitch de mint infinito en Cashio

Dos comprobaciones de colateral faltantes permitieron acuñar 2.000 millones de stablecoins CASH falsos en Cashio, hundiendo el TVL de $48M a cero.

Fecha
Víctima
Cashio
Cadena(s)
Solana
Estado
Fondos robados

El 23 de marzo de 2022 a las 08:15 UTC, el protocolo de stablecoin de Solana Cashio fue drenado por aproximadamente 48 millones de dólares mediante un exploit de mint infinito. Más de 2.000 millones de tokens CASH fueron acuñados a partir de colateral que no existía; el precio de CASH cayó de $1,00 a aproximadamente $0,00005 en cuestión de horas.

Qué ocurrió

Cashio acuñaba su stablecoin CASH contra depósitos de tokens LP de USDC/USDT del DEX Saber. La ruta de acuñación era una cadena de validaciones de cuentas:

  1. El usuario proporcionaba una cuenta saber_swap.arrow representando su posición LP.
  2. El protocolo usaba esta cuenta para encontrar la cuenta correspondiente crate_collateral_tokens.
  3. El protocolo verificaba que los tokens LP fueran reales, luego acuñaba CASH en proporción 1:1 USD.

El código de Cashio omitía dos comprobaciones de validación esenciales:

  • Sin verificación del campo mint de la cuenta saber_swap.arrow — el protocolo aceptaba cualquier cuenta presentada como fuente LP de Saber.
  • Sin verificación de la autoridad de la cuenta crate_collateral_tokens — cualquier llamador podía construir una cuenta "colateral".

El atacante construyó una cuenta saber_swap.arrow falsa apuntando a una cuenta crate_collateral_tokens falsa que él controlaba, depositó cero valor real, y acuñó CASH contra ella. Repitiendo el bucle, acuñó 2.000 millones de CASH e inmediatamente los intercambió por USDC y otros activos reales a través de pools de Saber.

Para cuando el equipo de Cashio emitió la alerta de "mint infinito" a las 09:59 UTC, el TVL del protocolo era efectivamente cero y CASH había perdido su peg permanentemente.

Consecuencias

  • El atacante devolvió una porción de los fondos a pequeños titulares (bajo $100.000) pero se quedó con el resto.
  • Cashio nunca se recuperó y efectivamente cerró.
  • El protocolo se había lanzado sin una auditoría formal — un hecho ampliamente citado en los análisis post-mortem.

Por qué importa

Cashio se convirtió en el ejemplo canónico de por qué cada cuenta externa pasada a un programa de Solana debe tener su mint/owner/authority verificada criptográficamente contra valores esperados, no meramente comprobada estructuralmente por tipo. La misma clase de bug — restricción faltante en una cuenta pasada — ha causado una fracción significativa de todos los exploits de programas de Solana desde entonces.

También reforzó la lección más dura de que enviar a mainnet un stablecoin sin auditar es una proposición de vida finita.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-cashio-hack-march-2022
  2. [02]theblock.cohttps://www.theblock.co/post/138934/stablecoin-cashio-on-solana-exploited-for-28-million-in-infinite-mint-glitch
  3. [03]coindesk.comhttps://www.coindesk.com/tech/2022/03/23/stablecoin-cashio-suffers-infinite-glitch-exploit-tvl-drops-by-28m

Registros relacionados