Lendhub, razmeroma majhna medverižna platforma za posojanje kriptovalut, ki deluje na HECO, je bila v začetku tega januarja izkoriščena v vrednosti 6 milijonov dolarjev.
Napad možen izključno zaradi slabega kodiranja
Napad je bil izveden zaradi slabo izvedene odstranitve zastarelega žetona IBSV cToken. Njegova zamenjava, ki je bila že aktivna, je imela takrat enako ceno, ki dovoljene neznanega slabega akterja, da manipulira s cenami in iz platforme izčrpa okoli 6 milijonov dolarjev kripto.
Po mnenju raziskovalca varnosti blockchain Halborn, bo težko izvesti pravilno analizo napada, saj sta bili pametni pogodbi, odgovorni za ceno obeh žetonov, nepreverjeni. Poleg tega same pametne pogodbe niso bile napadene, ampak samo sami žetoni, ki ne bi smeli biti navedeni hkrati.
»Čeprav ustrezne pametne pogodbe niso preverjene, kar otežuje poglobljeno analizo, napadalcu za izvedbo tega napada ni bilo treba izkoristiti ranljivosti pametnih pogodb. Napad je bil mogoč samo zato, ker sta bili na trgu na voljo dve konkurenčni različici istega žetona.«
Delni umik na kraju samem
Nekaj več kot 1100 ETH, vrednih približno 1.79 milijona dolarjev v tistem času, je bilo poslanih TornadoCash le nekaj ur po izkoriščanju.
Vendar pa se zdi, da se preostali del ukradenih sredstev spet premika, tako Peckshield kot Beosin.
2415 ETH, vreden več kot 3.8 milijona dolarjev v času pisanja tega članka, je bilo poslano iz denarnice, povezane z napadom, na TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 mio) v Tornado Cash iz @LendHubDefi izkoriščevalci
LendHub je bil izkoriščen in 6. januarja so iz njegovega protokola ukradli kriptovalute v vrednosti 12 milijonov dolarjev.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Februar 27, 2023
S tem se skupni znesek, premaknjen na TornadoCash, povzpne na 3515.4 ETH, kar je trenutno vredno več kot 5.7 milijona $. Preostalih sto tisoč je še vedno spravljenih v napadalčevi denarnici in bodo verjetno kmalu poslani v kripto mešalnik.
K sreči je ta zgodba srebrna podloga – ta je bila največja napad na kripto podjetje v mesecu januarju in je daleč od napadov Harmony ali Ronin iz lanskega leta. Januarja je bilo zaradi vdorov izgubljenih kriptovalut v vrednosti približno 8.8 milijona dolarjev, kar je več kot 90-odstotno zmanjšanje ukradene vrednosti v primerjavi z januarjem 2022.
Ne glede na to, ali je to zaradi tega, ker so razvijalci začeli resneje jemati varnost, ali zaradi drugih dejavnikov, je pomembno, da se zavedamo, da je kibernetska varnost nenehna bitka – in če želijo razvijalci ohraniti pozitivne rezultate, je najbolje, da ostanejo pozorni.
Binance brezplačno 100 $ (ekskluzivno): Uporabite to povezavo da se registrirate in prejmete 100 $ brezplačno in 10 % popusta na Binance Futures prvi mesec (Pogoji).
Posebna ponudba PrimeXBT: Uporabite to povezavo za registracijo in vnos kode POTATO50, da boste prejeli do 7,000 $ na svoje depozite.
Vir: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/