Lendhub, адносна невялікая крос-ланцужковая крыпта-крэдытная платформа, якая працуе на HECO, была выкарыстана на суму 6 мільёнаў долараў у пачатку гэтага студзеня.
Атака магчымая выключна з-за дрэннага кадавання
Атака адбылася з-за дрэнна выкананага выдалення састарэлага cToken IBSV. Яго замена, якая ўжо была актыўная, мела ў той час ідэнтычную цану, якая дазволена невядомы дрэнны акцёр, каб маніпуляваць цэнамі і зліць з платформы крыптаграфію на суму каля 6 мільёнаў долараў.
Па словах даследчыка бяспекі блокчейна Халборн, будзе складана правесці належны аналіз атакі, паколькі абодва смарт-кантракты, адказныя за цану двух токенаў, не былі правераныя. Акрамя таго, самі смарт-кантракты не былі атакаваныя, а толькі самі токены, якія не павінны былі быць у спісе адначасова.
«Хоць адпаведныя смарт-кантракты неправераныя — што ўскладняе глыбокі аналіз — зламысніку не трэба было выкарыстоўваць уразлівасці смарт-кантракту для ажыццяўлення гэтай атакі. Атака была магчымая толькі таму, што на рынку былі даступныя дзве канкуруючыя версіі аднаго і таго ж токена».
Частковае зняцце на месцы
Крыху больш за 1100 ETH на суму каля 1.79 мільёна долараў на той момант былі адпраўлены ў TornadoCash праз некалькі гадзін пасля эксплойта.
Тым не менш, па словах Пекшылда і Беосіна, астатнія скрадзеныя сродкі, здаецца, зноў рухаюцца.
2415 ETH на суму больш за 3.8 мільёна долараў на момант напісання гэтага артыкула былі адпраўлены з кашалька, звязанага з атакай, на TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 млн) у Tornado Cash з @LendHubDefi эксплуататараў
LendHub быў узлаваны, і 6 студзеня з яго пратакола былі скрадзены крыпты на 12 мільёнаў долараў.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert (@PeckShieldAlert) Люты 27, 2023
Гэта павялічвае агульную суму, перамешчаную ў TornadoCash, да 3515.4 ETH, што ў цяперашні час каштуе больш за 5.7 мільёна долараў. Астатнія сотні тысяч па-ранейшаму схаваныя ў кашальку зламысніка і, верагодна, неўзабаве будуць адпраўлены ў крыпта-міксер.
На шчасце, у гэтай гісторыі ёсць добрая падкладка - гэта была самая вялікая атакаваць на крыптакампаніі ў студзені і вельмі далёкі ад нападаў Harmony або Ronin у мінулым годзе. У агульнай складанасці ў студзені з-за хакерскіх нападаў было страчана крыпта на суму каля 8.8 мільёна долараў, што ў параўнанні са студзенем 90 года скарацілася больш чым на 2022% ад выкрадзенага кошту.
Ці звязана гэта з тым, што распрацоўшчыкі пачынаюць больш сур'ёзна ставіцца да бяспекі, ці з-за іншых фактараў, важна памятаць, што кібербяспека - гэта пастаянная барацьба, і калі распрацоўшчыкі жадаюць захаваць пазітыўны паслужны спіс, ім лепш заставацца напагатове.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/