Lendhub, platform pinjaman kripto rantaian silang yang agak kecil yang beroperasi pada HECO, telah dieksploitasi sehingga $6 juta dolar awal Januari ini.
Serangan Berkemungkinan Semata-mata Kerana Pengekodan Yang Lemah
Serangan itu dilakukan kerana penyingkiran IBSV cToken yang tidak dilaksanakan dengan baik. Penggantiannya, yang sudah aktif, mempunyai titik harga yang sama pada masa itu, yang dibenarkan pelakon jahat yang tidak diketahui untuk memanipulasi harga dan mengalirkan sekitar $6 juta nilai kripto daripada platform.
Menurut penyelidik keselamatan blockchain Beranak, analisis serangan yang betul akan sukar dilakukan kerana kontrak pintar yang bertanggungjawab terhadap harga kedua-dua token itu kedua-duanya tidak disahkan. Tambahan pula, kontrak pintar itu sendiri tidak diserang, hanya token itu sendiri, yang tidak sepatutnya disenaraikan secara serentak.
“Walaupun kontrak pintar yang berkaitan tidak disahkan — menyukarkan analisis mendalam — penyerang tidak perlu mengeksploitasi kelemahan kontrak pintar untuk melakukan serangan ini. Serangan itu hanya boleh dilakukan kerana dua versi bersaing bagi token yang sama tersedia di pasaran.”
Pengeluaran Separa di Tempat
Lebih daripada 1100 ETH, bernilai kira-kira $1.79 juta pada masa itu, dihantar ke TornadoCash hanya beberapa jam selepas eksploitasi itu.
Bagaimanapun, baki dana yang dicuri kelihatan bergerak semula, menurut Peckshield dan Beosin.
2415 ETH, bernilai lebih $3.8 juta pada masa artikel ini ditulis, telah dihantar dari dompet yang dikaitkan dengan serangan itu kepada TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85M) ke dalam Tornado Cash daripada @LendHubDefi pengeksploitasi
LendHub telah dieksploitasi, dan kripto bernilai $6M telah dicuri daripada protokolnya pada 12 Jan.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert (@PeckShieldAlert) Februari 27, 2023
Ini menjadikan jumlah keseluruhan yang dipindahkan ke TornadoCash sehingga 3515.4 ETH, yang kini bernilai lebih $5.7 juta. Baki ratusan ribu masih disimpan dalam dompet penyerang dan mungkin akan dihantar ke pengadun kripto tidak lama lagi.
Syukurlah, terdapat satu hikmah untuk cerita ini - ini adalah yang terbesar menyerang pada syarikat kripto pada bulan Januari dan jauh daripada serangan Harmony atau Ronin tahun lepas. Secara keseluruhan, Januari menyaksikan kripto bernilai kira-kira $8.8 juta hilang akibat digodam, pengurangan lebih 90% dalam nilai yang dicuri jika dibandingkan dengan Januari 2022.
Sama ada ini disebabkan oleh pembangun yang mula mengambil berat tentang keselamatan atau faktor lain, adalah penting untuk kekal sedar bahawa keselamatan siber adalah pertempuran yang berterusan – dan jika pembangun ingin mengekalkan rekod prestasi yang positif, mereka harus sentiasa berwaspada.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/