Lendhub, en relativt lille cross-chain krypto-udlånsplatform, der opererer på HECO, blev udnyttet til en værdi af $6 millioner dollars tidligere i januar.
Angreb muligt udelukkende på grund af dårlig kodning
Angrebet blev udført på grund af en dårligt udført fjernelse af et forældet IBSV cToken. Dens afløser, som allerede var aktiv, havde et identisk prispunkt på det tidspunkt, hvilket tilladt den ukendte dårlige skuespiller til at manipulere priserne og dræne omkring $6 millioner i krypto fra platformen.
Ifølge blockchain-sikkerhedsforsker Halborn, vil en ordentlig analyse af angrebet være vanskelig at udføre, da de smarte kontrakter, der er ansvarlige for prisen på de to tokens, begge var uverificerede. Desuden blev selve de smarte kontrakter ikke angrebet, kun selve tokens, som ikke skulle have været opført samtidigt.
“Mens de relevante smarte kontrakter er ubekræftede – hvilket gør en dybdegående analyse vanskelig – behøvede angriberen ikke at udnytte sårbarheder i smart kontrakt for at udføre dette angreb. Angrebet var kun muligt, fordi to konkurrerende versioner af samme token var tilgængelige på markedet."
Delvis tilbagetrækning på stedet
Lidt over 1100 ETH, til en værdi af omkring 1.79 millioner dollars på det tidspunkt, blev sendt til TornadoCash få timer efter udnyttelsen.
Resten af de stjålne midler ser dog ud til at bevæge sig igen, ifølge både Peckshield og Beosin.
2415 ETH, til en værdi af over 3.8 millioner dollars på det tidspunkt, hvor denne artikel blev skrevet, er blevet sendt fra en tegnebog i forbindelse med angrebet til TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 mio.) ind i Tornado Cash fra @LendHubDefi udbyttere
LendHub blev udnyttet, og kryptoværdier for $6 millioner blev stjålet fra dens protokol den 12. januar.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Februar 27, 2023
Dette bringer det samlede beløb, der er flyttet til TornadoCash, op på 3515.4 ETH, som i øjeblikket er over $5.7 millioner værd. De resterende hundredetusinder er stadig gemt væk i angriberens tegnebog og vil sandsynligvis blive sendt til en kryptomixer inden længe.
Heldigvis er der en guldkant i denne historie - dette var den største angribe på et kryptofirma i løbet af januar måned og er langt fra Harmony- eller Ronin-angrebene fra sidste år. I alt blev der i januar tabt kryptoværdi for omkring 8.8 millioner dollars til hacks, en reduktion på over 90 % i stjålet værdi sammenlignet med januar 2022.
Uanset om det er på grund af, at udviklere begynder at tage sikkerhed mere seriøst eller andre faktorer, er det vigtigt at være opmærksom på, at cybersikkerhed er en konstant kamp – og hvis udviklere ønsker at holde en positiv track record, bør de være opmærksomme.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/