Lendhub, o platformă de împrumut criptografică încrucișată relativ mică care operează pe HECO, a fost exploatată în valoare de 6 milioane de dolari la începutul acestui ianuarie.
Atacul este posibil numai din cauza codării proaste
Atacul a fost efectuat din cauza unei eliminări prost executate a unui cToken IBSV depreciat. Înlocuitorul său, care era deja activ, avea la acea vreme un preț identic, care permis actorul rău necunoscut să manipuleze prețurile și să consume cripto în valoare de aproximativ 6 milioane de dolari de pe platformă.
Potrivit cercetătorului de securitate blockchain Halborn, o analiză adecvată a atacului va fi dificil de realizat, deoarece contractele inteligente responsabile pentru prețul celor două jetoane au fost ambele neverificate. În plus, contractele inteligente în sine nu au fost atacate, ci doar jetoanele în sine, care nu ar fi trebuit listate simultan.
„Deși contractele inteligente relevante nu sunt verificate – ceea ce face dificilă o analiză aprofundată – atacatorul nu a avut nevoie să exploateze vulnerabilitățile contractelor inteligente pentru a efectua acest atac. Atacul a fost posibil doar pentru că două versiuni concurente ale aceluiași token erau disponibile pe piață.”
Retragere parțială la fața locului
Puțin peste 1100 ETH, în valoare de aproximativ 1.79 milioane de dolari la acea vreme, au fost trimise către TornadoCash la doar câteva ore după exploit.
Cu toate acestea, restul fondurilor furate par să se mute din nou, potrivit atât Peckshield, cât și Beosin.
2415 ETH, în valoare de peste 3.8 milioane de dolari la momentul scrierii acestui articol, a fost trimis dintr-un portofel asociat cu atacul către TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 milioane) în Tornado Cash de la @LendHubDefi exploatatori
LendHub a fost exploatat, iar cripto-urile în valoare de 6 milioane de dolari au fost furate din protocolul său pe 12 ianuarie.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3- PeckshieldAlert (@peckshieldAlert) 27 Februarie 2023
Aceasta aduce suma totală mutată către TornadoCash la 3515.4 ETH, în valoare de peste 5.7 milioane USD. Sutele de mii rămase sunt încă ascunse în portofelul atacatorului și probabil vor fi trimise la un mixer criptografic în scurt timp.
Din fericire, această poveste are un motiv de argint – aceasta a fost cea mai mare ataca pe o companie cripto în cursul lunii ianuarie și este departe de atacurile Harmony sau Ronin de anul trecut. În total, ianuarie s-au pierdut criptografii în valoare de aproximativ 8.8 milioane de dolari din cauza hackurilor, o reducere de peste 90% a valorii furate în comparație cu ianuarie 2022.
Fie că acest lucru se datorează faptului că dezvoltatorii au început să ia securitatea mai în serios sau din cauza altor factori, este important să rămânem conștienți de faptul că securitatea cibernetică este o luptă constantă – iar dacă dezvoltatorii doresc să păstreze un istoric pozitiv, ar fi bine să rămână atenți.
Binance gratuit 100 USD (exclusiv): Utilizați acest link pentru a vă înregistra și a primi 100 USD gratuit și 10% reducere la taxe la Binance Futures prima lună (termeni).
Ofertă specială PrimeXBT: Utilizați acest link pentru a vă înregistra și introduce codul POTATO50 pentru a primi până la 7,000 USD din depozitele dvs.
Sursa: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/