Lendhub, relativno mala unakrsna platforma za kripto pozajmljivanje koja radi na HECO, eksploatisana je u iznosu od 6 miliona dolara ranije ovog januara.
Napad moguć isključivo zbog lošeg kodiranja
Napad je izveden zbog loše izvršenog uklanjanja zastarjelog IBSV cTokena. Njegova zamjena, koja je već bila aktivna, imala je identičnu cijenu u to vrijeme, što dozvoljeno nepoznati loš glumac da manipuliše cenama i izvuče kriptovalute u vrednosti od oko 6 miliona dolara sa platforme.
Prema istraživaču blockchain sigurnosti Halborn, bit će teško provesti odgovarajuću analizu napada jer su pametni ugovori odgovorni za cijenu dva tokena oba neprovjerena. Nadalje, sami pametni ugovori nisu napadnuti, već samo sami tokeni, koji nisu trebali biti navedeni istovremeno.
“Dok su relevantni pametni ugovori neprovjereni – što otežava dubinsku analizu – napadač nije morao da iskoristi ranjivosti pametnih ugovora da bi izvršio ovaj napad. Napad je bio moguć samo zato što su na tržištu bile dostupne dvije konkurentske verzije istog tokena.”
Djelomično povlačenje na licu mjesta
Nešto više od 1100 ETH, vrijednih oko 1.79 miliona dolara u to vrijeme, poslano je TornadoCash-u samo nekoliko sati nakon eksploatacije.
Međutim, čini se da se ostatak ukradenih sredstava ponovo kreće, prema Peckshieldu i Beosin.
2415 ETH, vrijedan preko 3.8 miliona dolara u vrijeme pisanja ovog članka, poslan je iz novčanika povezanog s napadom TornadoCash-u.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 miliona) u Tornado Cash iz @LendHubDefi eksploatatori
LendHub je eksploatisan, a kriptovalute u vrednosti od 6 miliona dolara ukradene su iz njegovog protokola 12. januara.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert (@PeckShieldAlert) Februar 27, 2023
Ovo donosi ukupan iznos premješten na TornadoCash do 3515.4 ETH, trenutno vrijedan preko 5.7 miliona dolara. Preostale stotine hiljada su još uvijek skrivene u novčaniku napadača i vjerovatno će uskoro biti poslane u kripto mikser.
Srećom, u ovoj priči je srebro – ovo je bila najveća Napad na kripto kompaniju tokom mjeseca januara i daleko je od prošlogodišnjih napada Harmony ili Ronin. Ukupno, u januaru je kriptovaluta u vrijednosti od oko 8.8 miliona dolara izgubljena zbog hakova, što je smanjenje od preko 90% ukradene vrijednosti u odnosu na januar 2022.
Bilo da je to zbog toga što su programeri počeli ozbiljnije shvaćati sigurnost ili zbog drugih faktora, važno je ostati svjestan da je sajber sigurnost stalna borba – i ako programeri žele da zadrže pozitivnu evidenciju, najbolje je da ostanu na oprezu.
Binance besplatno $100 (ekskluzivno): Koristite ovu vezu da se registrujete i dobijete 100 $ besplatno i 10% popusta na Binance Futures prvi mjesec (uslovi).
PrimeXBT posebna ponuda: Koristite ovu vezu da se registrujete i unesete POTATO50 kod da dobijete do $7,000 na svoje depozite.
Izvor: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/