Lendhub, relativno mala cross-chain kripto platforma za pozajmljivanje koja radi na HECO, iskorištena je u iznosu od 6 milijuna dolara ranije ovog siječnja.
Napad moguć isključivo zbog lošeg kodiranja
Napad je izveden zbog loše izvedenog uklanjanja zastarjelog IBSV cTokena. Njegova zamjena, koja je već bila aktivna, imala je identičnu cijenu u to vrijeme, što dozvoljen nepoznatog lošeg aktera da manipulira cijenama i iscijedi kriptovalute u vrijednosti od oko 6 milijuna dolara s platforme.
Prema istraživaču sigurnosti blockchaina Halborn, odgovarajuću analizu napada bit će teško provesti budući da pametni ugovori odgovorni za cijenu dvaju tokena nisu bili provjereni. Nadalje, sami pametni ugovori nisu bili napadnuti, već samo sami tokeni, koji nisu trebali biti izlistani istovremeno.
“Iako su relevantni pametni ugovori neprovjereni — što otežava dubinsku analizu — napadač nije trebao iskoristiti ranjivosti pametnog ugovora kako bi izveo ovaj napad. Napad je bio moguć samo zato što su na tržištu bile dostupne dvije konkurentne verzije istog tokena.”
Djelomično povlačenje na licu mjesta
Nešto više od 1100 ETH, u to vrijeme vrijednih oko 1.79 milijuna dolara, poslano je TornadoCash-u samo nekoliko sati nakon eksploatacije.
Međutim, čini se da se ostatak ukradenih sredstava ponovno seli, prema Peckshieldu i Beosinu.
2415 ETH, vrijedan preko 3.8 milijuna dolara u vrijeme pisanja ovog članka, poslano je iz novčanika povezanog s napadom na TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85M) u Tornado Cash iz @LendHubDefi izrabljivači
LendHub je iskorišten, a 6. siječnja iz njegovog protokola ukradeno je kriptovaluta u vrijednosti od 12 milijuna dolara.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Veljače 27, 2023
Ovo dovodi ukupni iznos premješten na TornadoCash do 3515.4 ETH, trenutno vrijedan preko 5.7 milijuna dolara. Preostale stotine tisuća još su skrivene u napadačevom novčaniku i vjerojatno će uskoro biti poslane u kripto mikser.
Srećom, u ovoj priči postoji dobra strana – ova je bila najveća napasti na kripto tvrtku tijekom mjeseca siječnja i daleko je od napada Harmony ili Ronin prošle godine. Ukupno je u siječnju hakiranjem izgubljeno oko 8.8 milijuna dolara kriptovaluta, što je smanjenje ukradene vrijednosti od preko 90% u usporedbi sa siječnjem 2022.
Bilo da je to zbog toga što razvojni programeri počinju ozbiljnije shvaćati sigurnost ili zbog drugih čimbenika, važno je ostati svjestan da je kibernetička sigurnost stalna borba – i ako razvojni programeri žele zadržati pozitivnu evidenciju, najbolje im je da ostanu na oprezu.
Binance besplatno 100 USD (isključivo): Koristite ovu vezu za registraciju i primanje 100 USD besplatno i 10% popusta na Binance Futures prvi mjesec (uvjeti).
Posebna ponuda PrimeXBT: Koristite ovu vezu da se registrirate i unesete POTATO50 kod kako biste primili do 7,000 USD na svoje depozite.
Izvor: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/