Lendhub, relativně malá cross-chain platforma pro půjčování kryptoměn fungující na HECO, byla počátkem letošního ledna využita ve výši 6 milionů dolarů.
Útok možný pouze kvůli špatnému kódování
Útok byl proveden kvůli špatně provedenému odstranění zastaralého cTokenu IBSV. Jeho náhrada, která již byla aktivní, měla v té době identickou cenu, která povoleno neznámého špatného aktéra manipulovat s cenami a odčerpávat z platformy kryptoměny v hodnotě kolem 6 milionů dolarů.
Tvrdí to bezpečnostní výzkumník blockchainu Halborn, bude obtížné provést řádnou analýzu útoku, protože chytré kontrakty odpovědné za cenu dvou tokenů nebyly ověřeny. Dále nebyly napadeny samotné smart kontrakty, pouze samotné tokeny, které neměly být uvedeny současně.
„Zatímco příslušné smart kontrakty nejsou ověřeny – což ztěžuje hloubkovou analýzu – útočník nepotřeboval k provedení tohoto útoku zneužít zranitelnosti smart kontraktů. Útok byl možný pouze proto, že na trhu byly k dispozici dvě konkurenční verze stejného tokenu.“
Částečný výběr na místě
Něco málo přes 1100 ETH v hodnotě asi 1.79 milionu dolarů v té době bylo odesláno do TornadoCash pouhé hodiny po exploitu.
Zdá se však, že zbytek ukradených prostředků se podle Peckshielda i Beosina opět hýbe.
2415 ETH v hodnotě více než 3.8 milionu $ v době, kdy byl tento článek napsán, bylo odesláno z peněženky spojené s útokem do TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 mil.) do Tornado Cash z @LendHubDefi vykořisťovatelé
LendHub byl zneužit a 6. ledna byly z jeho protokolu ukradeny kryptoměny v hodnotě 12 milionů dolarů.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Února 27, 2023
To zvyšuje celkovou částku přesunutou do TornadoCash až na 3515.4 ETH, v současné době v hodnotě přes 5.7 milionu $. Zbývající stovky tisíc jsou stále schované v útočníkově peněžence a pravděpodobně budou brzy poslány do míchače kryptoměn.
Naštěstí je v tomto příběhu stříbrná čára – tento byl největší útok na krypto společnost během měsíce ledna a je na hony vzdálený útokům Harmony nebo Ronin z minulého roku. Celkem v lednu došlo kvůli hackům ke ztrátě kryptoměn v hodnotě asi 8.8 milionu dolarů, což je snížení odcizené hodnoty o více než 90 % ve srovnání s lednem 2022.
Ať už je to kvůli tomu, že vývojáři začínají brát zabezpečení vážněji, nebo kvůli jiným faktorům, je důležité si uvědomit, že kybernetická bezpečnost je neustálý boj – a pokud si vývojáři chtějí udržet pozitivní výsledky, měli by zůstat ve střehu.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/