Lendhub, відносно невелика крос-ланцюжкова платформа криптокредитування, що працює на HECO, була використана на суму 6 мільйонів доларів на початку цього січня.
Атака можлива лише через погане кодування
Атака була здійснена через погано виконане видалення застарілого IBSV cToken. Його заміна, яка вже діяла, мала на той час ідентичну ціну, яка дозволено невідомий поганий гравець, щоб маніпулювати ціноутворенням і викачати з платформи криптовалюти на суму близько 6 мільйонів доларів.
За словами дослідника безпеки блокчейну Халборн, буде важко провести належний аналіз атаки, оскільки смарт-контракти, відповідальні за ціну двох токенів, були неперевіреними. Крім того, самі смарт-контракти не були атаковані, а лише самі токени, які не повинні були бути перераховані одночасно.
«Хоча відповідні смарт-контракти неперевірені, що ускладнює поглиблений аналіз, зловмиснику не потрібно було використовувати вразливості смарт-контракту, щоб здійснити цю атаку. Атака була можливою лише тому, що на ринку були доступні дві конкуруючі версії одного токена».
Часткове вилучення на місці
Трохи більше 1100 ETH, вартістю приблизно 1.79 мільйона доларів на той час, були відправлені на TornadoCash лише через кілька годин після експлойту.
Однак, як стверджують Пекшилд і Беосін, решта вкрадених коштів знову переміщується.
2415 ETH, вартістю понад 3.8 мільйона доларів на момент написання цієї статті, було відправлено з гаманця, пов’язаного з атакою, на TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 млн) у Tornado Cash від @LendHubDefi експлуататорів
LendHub було використано, і 6 січня з його протоколу було викрадено криптовалюти на 12 мільйонів доларів.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) 27 Лютого, 2023
Таким чином, загальна сума, переміщена в TornadoCash, досягла 3515.4 ETH, що наразі коштує понад 5.7 мільйона доларів. Решта сотні тисяч все ще зберігаються в гаманці зловмисника і, ймовірно, незабаром будуть відправлені до криптозмішувача.
На щастя, у цій історії є срібна підкладка – ця була найбільшою атака на криптокомпанію протягом січня місяця, і це дуже далеко від атак Harmony або Ronin минулого року. Загалом у січні через хакери було втрачено криптовалюти на суму близько 8.8 мільйона доларів, що на 90% менше, ніж у січні 2022 року.
Незалежно від того, чи це пов’язано з тим, що розробники почали ставитися до безпеки більш серйозно, чи з інших факторів, важливо пам’ятати, що кібербезпека — це постійна боротьба, і якщо розробники хочуть зберегти позитивний результат, їм краще бути напоготові.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/