Lendhub, en relativt liten cross-chain kryptolåneplattform som verkar på HECO, utnyttjades till ett belopp av 6 miljoner dollar tidigare i januari.
Attack möjlig enbart på grund av dålig kodning
Attacken utfördes på grund av en dåligt utförd borttagning av ett föråldrat IBSV cToken. Dess ersättare, som redan var aktiv, hade en identisk prispunkt vid den tiden, vilket tillåts den okända dåliga skådespelaren att manipulera prissättningen och tömma runt 6 miljoner dollar i krypto från plattformen.
Enligt blockchain säkerhetsforskare Halborn, en korrekt analys av attacken kommer att vara svår att genomföra eftersom de smarta kontrakten som står för priset på de två tokens båda var overifierade. Dessutom attackerades inte de smarta kontrakten i sig, bara själva tokens, som inte borde ha listats samtidigt.
"Medan de relevanta smarta kontrakten inte är verifierade - vilket gör en djupgående analys svår - behövde angriparen inte utnyttja sårbarheter i smarta kontrakt för att utföra denna attack. Attacken var endast möjlig eftersom två konkurrerande versioner av samma token fanns tillgängliga på marknaden.”
Partiellt uttag på plats
Drygt 1100 ETH, värda cirka 1.79 miljoner dollar vid den tiden, skickades till TornadoCash bara timmar efter exploateringen.
Men resten av de stulna medlen verkar röra på sig igen, enligt både Peckshield och Beosin.
2415 ETH, värd över 3.8 miljoner dollar när denna artikel skrevs, har skickats från en plånbok associerad med attacken till TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 miljoner) till Tornado Cash från @LendHubDefi exploatörer
LendHub utnyttjades och krypto för 6 miljoner dollar stals från dess protokoll den 12 januari.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Februari 27, 2023
Detta bringar det totala beloppet som flyttats till TornadoCash upp till 3515.4 ETH, för närvarande värt över 5.7 miljoner dollar. De återstående hundratusentals är fortfarande gömda i angriparens plånbok och kommer förmodligen att skickas till en kryptomixer inom kort.
Lyckligtvis finns det en guldkant i den här historien – det här var den största attackera på ett kryptoföretag under januari månad och är långt ifrån Harmony- eller Ronin-attackerna förra året. Totalt gick det i januari bort i krypto för cirka 8.8 miljoner dollar på grund av hacks, en minskning med över 90 % i stulet värde jämfört med januari 2022.
Oavsett om detta beror på att utvecklare börjar ta säkerheten mer seriöst eller andra faktorer, är det viktigt att vara medveten om att cybersäkerhet är en ständig kamp – och om utvecklare vill ha en positiv meritlista är det bäst att de håller sig vakna.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/