Lendhub, stosunkowo niewielka międzyłańcuchowa platforma pożyczek kryptograficznych działająca na HECO, została wykorzystana na kwotę 6 milionów dolarów na początku stycznia tego roku.
Atak możliwy wyłącznie z powodu złego kodowania
Atak został przeprowadzony z powodu źle przeprowadzonego usunięcia przestarzałego cTokena IBSV. Jego zamiennik, który był już aktywny, miał wówczas identyczną cenę, co dozwolony nieznany zły aktor manipulował cenami i odprowadzał kryptowaluty o wartości około 6 milionów dolarów z platformy.
Według badacza bezpieczeństwa blockchain Halborna, właściwa analiza ataku będzie trudna do przeprowadzenia, ponieważ inteligentne kontrakty odpowiedzialne za cenę dwóch tokenów były niezweryfikowane. Co więcej, atakowane nie były same smart kontrakty, tylko same tokeny, które nie powinny były być notowane jednocześnie.
„Chociaż odpowiednie inteligentne kontrakty nie zostały zweryfikowane – co utrudnia dogłębną analizę – atakujący nie musiał wykorzystywać luk w zabezpieczeniach inteligentnych kontraktów, aby przeprowadzić ten atak. Atak był możliwy tylko dlatego, że na rynku były dostępne dwie konkurencyjne wersje tego samego tokena.”
Częściowa wypłata na miejscu
Nieco ponad 1100 ETH, warte wówczas około 1.79 miliona dolarów, zostało wysłanych do TornadoCash zaledwie kilka godzin po exploicie.
Jednak wydaje się, że reszta skradzionych funduszy znów się porusza, zarówno według Peckshield, jak i Beosin.
2415 ETH, warte ponad 3.8 miliona dolarów w momencie pisania tego artykułu, zostało wysłane z portfela powiązanego z atakiem na TornadoCash.
Ostrzeżenie #PeckShield ~ 2,415.4 $ ETH (~ 3.85 mln) do Tornado Cash z @LendHubDefi wyzyskiwacze
LendHub został wykorzystany, a kryptowaluty o wartości 6 milionów dolarów zostały skradzione z jego protokołu 12 stycznia.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) 27 lutego 2023 r.
Daje to łączną kwotę przeniesioną do TornadoCash do 3515.4 ETH, obecnie wartej ponad 5.7 miliona dolarów. Pozostałe setki tysięcy nadal są ukryte w portfelu atakującego i prawdopodobnie wkrótce zostaną wysłane do miksera kryptowalut.
Na szczęście w tej historii jest srebrna podszewka – ta była największa atakować na firmę kryptograficzną w styczniu i jest daleki od ataków Harmony lub Ronin z zeszłego roku. W sumie w styczniu w wyniku włamań utracono kryptowaluty o wartości około 8.8 miliona dolarów, co stanowi spadek o ponad 90% skradzionej wartości w porównaniu ze styczniem 2022 r.
Niezależnie od tego, czy jest to spowodowane tym, że twórcy zaczęli poważniej traktować bezpieczeństwo, czy innymi czynnikami, ważne jest, aby mieć świadomość, że cyberbezpieczeństwo to ciągła walka – a jeśli twórcy chcą zachować pozytywne wyniki, powinni zachować czujność.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/