Lendhub, relatívne malá cross-chain platforma na požičiavanie kryptomien fungujúca na HECO, bola začiatkom januára tohto roka využitá vo výške 6 miliónov dolárov.
Útok možný výlučne v dôsledku zlého kódovania
Útok bol vykonaný v dôsledku zle vykonaného odstránenia zastaraného cTokenu IBSV. Jeho náhrada, ktorá už bola aktívna, mala v tom čase identickú cenu, ktorá povolené neznámeho zlého herca manipulovať s cenami a odčerpať z platformy kryptomeny v hodnote okolo 6 miliónov dolárov.
Podľa výskumníka bezpečnosti blockchainu Halborn, bude ťažké vykonať správnu analýzu útoku, pretože inteligentné zmluvy zodpovedné za cenu dvoch tokenov neboli overené. Okrem toho neboli napadnuté samotné smart kontrakty, iba samotné tokeny, ktoré nemali byť uvedené súčasne.
„Zatiaľ čo príslušné inteligentné zmluvy nie sú overené, čo sťažuje hĺbkovú analýzu, útočník na vykonanie tohto útoku nepotreboval zneužiť zraniteľnosť inteligentnej zmluvy. Útok bol možný len preto, že na trhu boli dostupné dve konkurenčné verzie toho istého tokenu.“
Čiastočný výber na mieste
Len niekoľko hodín po zneužití bolo do TornadoCash odoslaných niečo vyše 1100 ETH v hodnote približne 1.79 milióna dolárov v tom čase.
Zdá sa však, že zvyšok ukradnutých prostriedkov sa podľa Peckshielda aj Beosina opäť hýbe.
2415 ETH v hodnote viac ako 3.8 milióna dolárov v čase písania tohto článku bolo odoslaných z peňaženky spojenej s útokom do TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 milióna) do Tornado Cash z @LendHubDefi vykorisťovateľov
LendHub bol zneužitý a 6. januára boli z jeho protokolu ukradnuté kryptomeny v hodnote 12 miliónov dolárov.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Februára 27, 2023
To zvyšuje celkovú sumu presunutú do TornadoCash až na 3515.4 ETH, čo je v súčasnosti viac ako 5.7 milióna dolárov. Zvyšné státisíce sú stále ukryté v útočníkovej peňaženke a pravdepodobne budú čoskoro odoslané do miešača kryptomien.
Našťastie tento príbeh má striebornú hranicu – tento bol najväčší útok na krypto spoločnosť počas mesiaca január a je ďaleko od útokov Harmony alebo Ronin z minulého roka. Celkovo v januári došlo v dôsledku hackerov k strate kryptomien v hodnote približne 8.8 milióna dolárov, čo predstavuje zníženie ukradnutej hodnoty o viac ako 90 % v porovnaní s januárom 2022.
Či už je to kvôli tomu, že vývojári začali brať bezpečnosť vážnejšie, alebo kvôli iným faktorom, je dôležité si uvedomiť, že kybernetická bezpečnosť je neustály boj – a ak si chcú vývojári udržať pozitívne výsledky, mali by zostať v strehu.
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/