Lendhub, относительно небольшая кроссчейн-платформа крипто-кредитования, работающая на HECO, была использована на сумму 6 миллионов долларов в начале января этого года.
Атака возможна исключительно из-за плохого кода
Атака была осуществлена из-за плохо выполненного удаления устаревшего cToken IBSV. Его замена, которая уже была активна, имела на тот момент такую же цену, что и разрешено неизвестный злоумышленник манипулирует ценообразованием и выкачивает криптовалюту на сумму около 6 миллионов долларов с платформы.
По словам исследователя безопасности блокчейна Халборн, будет сложно провести надлежащий анализ атаки, поскольку смарт-контракты, ответственные за цену двух токенов, не были проверены. Кроме того, атаке подверглись не сами смарт-контракты, а только сами токены, которые не должны были быть перечислены одновременно.
«Хотя соответствующие смарт-контракты не проверены, что затрудняет углубленный анализ, злоумышленнику не нужно было использовать уязвимости смарт-контрактов для проведения этой атаки. Атака была возможна только потому, что на рынке были доступны две конкурирующие версии одного и того же токена».
Частичный вывод на месте
Всего через несколько часов после эксплойта на TornadoCash было отправлено чуть более 1100 ETH, что на тот момент стоило около 1.79 миллиона долларов.
Однако, по словам Пекшилда и Беосина, остальные украденные средства, по-видимому, снова находятся в движении.
2415 ETH на сумму более 3.8 млн долларов на момент написания этой статьи были отправлены с кошелька, связанного с атакой, на TornadoCash.
#Peckshieldalert ~ 2,415.4 $ ETH (~3.85 млн) в Tornado Cash из @LendHubDefi эксплуататоры
LendHub был взломан, и 6 января из его протокола была украдена криптовалюта на сумму 12 миллионов долларов.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3- PeckShieldAlert (@PeckShieldAlert) 27 февраля 2023
Это увеличивает общую сумму, переведенную в TornadoCash, до 3515.4 ETH, что в настоящее время составляет более 5.7 миллиона долларов. Остальные сотни тысяч все еще спрятаны в кошельке злоумышленника и, вероятно, вскоре будут отправлены на криптомиксер.
К счастью, в этой истории есть и положительная сторона — это был самый большой атаковать на криптовалютную компанию в январе месяце, и это далеко от прошлогодних атак Harmony или Ronin. В общей сложности в январе из-за хакерских атак было потеряно криптовалют на сумму около 8.8 млн долларов, что на 90% меньше, чем в январе 2022 года.
Будь то из-за того, что разработчики начинают более серьезно относиться к безопасности или из-за других факторов, важно помнить, что кибербезопасность — это постоянная битва, и если разработчики хотят сохранить положительный послужной список, им лучше быть начеку.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/