Lendhub, salīdzinoši neliela starpķēžu kriptovalūtu aizdevumu platforma, kas darbojas HECO, tika izmantota 6 miljonu dolāru apmērā šā gada janvārī.
Uzbrukums ir iespējams tikai sliktas kodēšanas dēļ
Uzbrukums tika veikts, jo tika slikti izpildīts novecojušais IBSV cToken. Tā nomaiņai, kas jau bija aktīva, tajā laikā bija identisks cenu punkts, kas atļauta nezināmais sliktais aktieris, lai manipulētu ar cenām un no platformas izņemtu kriptovalūtu aptuveni 6 miljonu dolāru vērtībā.
Saskaņā ar blokķēdes drošības pētnieka teikto Halborns, būs grūti veikt pareizu uzbrukuma analīzi, jo abi līgumi, kas ir atbildīgi par divu marķieru cenu, nebija pārbaudīti. Turklāt pašiem viedajiem līgumiem netika uzbrukts, tikai pašiem žetoniem, kurus nevajadzēja uzskaitīt vienlaikus.
“Lai gan attiecīgie viedie līgumi nav pārbaudīti, kas apgrūtina padziļinātu analīzi, uzbrucējam nebija jāizmanto viedo līgumu ievainojamības, lai veiktu šo uzbrukumu. Uzbrukums bija iespējams tikai tāpēc, ka tirgū bija pieejamas divas konkurējošas viena un tā paša marķiera versijas.
Daļēja izņemšana uz vietas
Tikai dažas stundas pēc ekspluatācijas uz TornadoCash tika nosūtīti nedaudz vairāk par 1100 ETH, kuru vērtība tobrīd bija aptuveni 1.79 miljoni USD.
Tomēr šķiet, ka pārējie nozagtie līdzekļi atkal pārvietojas, norāda gan Peckshield, gan Beosin.
2415 ETH, kuras vērtība pārsniedz 3.8 miljonus ASV dolāru šī raksta tapšanas laikā, tika nosūtīta no maka, kas saistīts ar uzbrukumu, TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 M) Tornado Cash no plkst @LendHubDefi ekspluatētājiem
LendHub tika izmantots, un 6. janvārī no tā protokola tika nozagtas kriptovalūtas 12 miljonu dolāru vērtībā.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Februāris 27, 2023
Tādējādi kopējā TornadoCash pārvietotā summa ir līdz 3515.4 ETH, kuras vērtība pašlaik pārsniedz 5.7 miljonus USD. Atlikušie simti tūkstošu joprojām ir slēpti uzbrucēja makā un, iespējams, drīz tiks nosūtīti uz šifrēšanas mikseri.
Par laimi, šim stāstam ir sudraba odere – šis bija lielākais uzbrukums janvāra mēnesī kriptovalūtu uzņēmumā, un tas ir tālu no pagājušā gada Harmony vai Ronin uzbrukumiem. Kopumā janvārī uzlaušanas rezultātā tika zaudētas kriptovalūtas aptuveni 8.8 miljonu ASV dolāru vērtībā, kas ir par vairāk nekā 90% mazāk nozagto vērtību, salīdzinot ar 2022. gada janvāri.
Neatkarīgi no tā, vai izstrādātāji ir sākuši nopietnāk uztvert drošību, vai arī citi faktori, ir svarīgi apzināties, ka kiberdrošība ir pastāvīga cīņa — un, ja izstrādātāji vēlas saglabāt pozitīvus rezultātus, viņiem vislabāk bija būt modriem.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/