Το Lendhub, μια σχετικά μικρή πλατφόρμα δανεισμού κρυπτονομισμάτων που λειτουργεί σε HECO, αξιοποιήθηκε με 6 εκατομμύρια δολάρια νωρίτερα αυτόν τον Ιανουάριο.
Η επίθεση είναι δυνατή αποκλειστικά λόγω κακής κωδικοποίησης
Η επίθεση πραγματοποιήθηκε λόγω κακής εκτέλεσης αφαίρεσης ενός καταργημένου cToken IBSV. Η αντικατάστασή του, που ήταν ήδη ενεργή, είχε την ίδια τιμή τότε, η οποία επιτρέπεται ο άγνωστος κακός ηθοποιός να χειραγωγήσει την τιμολόγηση και να αποστραγγίσει κρυπτονομίσματα αξίας περίπου 6 εκατομμυρίων δολαρίων από την πλατφόρμα.
Σύμφωνα με ερευνητή ασφάλειας blockchain Χάλμπορν, μια σωστή ανάλυση της επίθεσης θα είναι δύσκολο να πραγματοποιηθεί καθώς τα έξυπνα συμβόλαια που είναι υπεύθυνα για την τιμή των δύο διακριτικών δεν επαληθεύτηκαν και τα δύο. Επιπλέον, δεν επιτέθηκαν τα ίδια τα έξυπνα συμβόλαια, μόνο τα ίδια τα token, τα οποία δεν θα έπρεπε να είχαν καταχωρηθεί ταυτόχρονα.
«Ενώ τα σχετικά έξυπνα συμβόλαια δεν είναι επαληθευμένα - καθιστώντας δύσκολη μια εις βάθος ανάλυση - ο εισβολέας δεν χρειάστηκε να εκμεταλλευτεί ευπάθειες έξυπνων συμβολαίων για να πραγματοποιήσει αυτήν την επίθεση. Η επίθεση ήταν δυνατή μόνο επειδή δύο ανταγωνιστικές εκδόσεις του ίδιου διακριτικού ήταν διαθέσιμες στην αγορά».
Μερική ανάληψη επί τόπου
Λίγο πάνω από 1100 ETH, αξίας περίπου 1.79 εκατομμυρίων δολαρίων εκείνη την εποχή, στάλθηκαν στο TornadoCash λίγες ώρες μετά το exploit.
Ωστόσο, τα υπόλοιπα κλεμμένα κεφάλαια φαίνεται να κινούνται ξανά, σύμφωνα με τον Peckshield και τον Beosin.
2415 ETH, αξίας άνω των 3.8 εκατομμυρίων δολαρίων τη στιγμή που γράφτηκε αυτό το άρθρο, έχει σταλεί από ένα πορτοφόλι που σχετίζεται με την επίθεση στο TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 εκατ.) σε Tornado Cash από @LendHubDefi εκμεταλλευτές
Το LendHub έγινε αντικείμενο εκμετάλλευσης και κρυπτογράφηση αξίας 6 εκατομμυρίων δολαρίων κλάπηκαν από το πρωτόκολλό του στις 12 Ιανουαρίου.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) Φεβρουάριος 27, 2023
Αυτό ανεβάζει το συνολικό ποσό που μετακινήθηκε στο TornadoCash σε 3515.4 ETH, αξίας άνω των 5.7 εκατομμυρίων δολαρίων. Οι υπόλοιπες εκατοντάδες χιλιάδες εξακολουθούν να είναι κρυμμένες στο πορτοφόλι του εισβολέα και πιθανότατα θα σταλούν σε έναν μίκτη κρυπτογράφησης σύντομα.
Ευτυχώς, υπάρχει μια ασημένια γραμμή σε αυτή την ιστορία - αυτή ήταν η μεγαλύτερη επίθεση σε μια εταιρεία κρυπτογράφησης κατά τον μήνα Ιανουάριο και απέχει πολύ από τις επιθέσεις Harmony ή Ronin του περασμένου έτους. Συνολικά, τον Ιανουάριο χάθηκαν κρυπτονομίσματα αξίας περίπου 8.8 εκατομμυρίων δολαρίων από hacks, μια μείωση άνω του 90% στην κλεμμένη αξία σε σύγκριση με τον Ιανουάριο του 2022.
Είτε αυτό οφείλεται στο γεγονός ότι οι προγραμματιστές αρχίζουν να παίρνουν πιο σοβαρά την ασφάλεια ή άλλους παράγοντες, είναι σημαντικό να παραμείνετε ενήμεροι ότι η κυβερνοασφάλεια είναι μια συνεχής μάχη – και εάν οι προγραμματιστές θέλουν να διατηρήσουν θετικό ιστορικό, καλό θα ήταν να παραμείνουν σε εγρήγορση.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/