Ang Lendhub, isang medyo maliit na cross-chain crypto lending platform na tumatakbo sa HECO, ay pinagsamantalahan sa halagang $6 milyong dolyar mas maaga nitong Enero.
Posibleng Pag-atake Dahil Lamang sa Maling Coding
Ang pag-atake ay isinagawa dahil sa isang hindi magandang naisagawa na pag-alis ng isang hindi na ginagamit na IBSV cToken. Ang kapalit nito, na aktibo na, ay may magkaparehong punto ng presyo noong panahong iyon, na pinapayagan ang hindi kilalang masamang aktor upang manipulahin ang pagpepresyo at alisin ang humigit-kumulang $6 milyon na halaga ng crypto mula sa platform.
Ayon sa blockchain security researcher Halborn, ang tamang pagsusuri sa pag-atake ay magiging mahirap na isagawa dahil ang mga matalinong kontrata na responsable para sa presyo ng dalawang token ay parehong hindi na-verify. Higit pa rito, ang mga smart contract mismo ay hindi inatake, tanging ang mga token mismo, na hindi dapat nakalista nang sabay-sabay.
“Bagama't hindi pa nabe-verify ang mga nauugnay na smart contract — nagpapahirap sa malalim na pagsusuri — hindi kailangan ng attacker na samantalahin ang mga vulnerabilities ng smart contract para maisagawa ang pag-atakeng ito. Posible lang ang pag-atake dahil available sa merkado ang dalawang magkakumpitensyang bersyon ng parehong token."
Partial Withdrawal on the Spot
Mahigit lamang sa 1100 ETH, na nagkakahalaga ng humigit-kumulang $1.79 milyon noong panahong iyon, ang ipinadala sa TornadoCash ilang oras lamang pagkatapos ng pagsasamantala.
Gayunpaman, ang natitirang bahagi ng mga ninakaw na pondo ay lumilitaw na muling gumagalaw, ayon sa parehong Peckshield at Beosin.
Ang 2415 ETH, na nagkakahalaga ng mahigit $3.8 milyon noong isinulat ang artikulong ito, ay ipinadala mula sa isang pitaka na nauugnay sa pag-atake sa TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85M) sa Tornado Cash mula sa @LendHubDefi mga mapagsamantala
Sinamantala ang LendHub, at ninakaw ang $6M na halaga ng cryptos mula sa protocol nito noong Ene. 12.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert (@PeckShieldAlert) Pebrero 27, 2023
Dinadala nito ang kabuuang halagang inilipat sa TornadoCash hanggang 3515.4 ETH, kasalukuyang nagkakahalaga ng mahigit $5.7 milyon. Ang natitirang daan-daang libo ay nakatago pa rin sa wallet ng umaatake at malamang na ipapadala sa isang crypto mixer sa lalong madaling panahon.
Sa kabutihang palad, mayroong isang silver lining sa kuwentong ito - ito ang pinakamalaki atake sa isang kumpanya ng crypto sa buwan ng Enero at malayo sa Harmony o Ronin attacks noong nakaraang taon. Sa kabuuan, ang Enero ay nakakita ng humigit-kumulang $8.8 milyon na halaga ng crypto na nawala sa mga hack, isang pagbawas ng higit sa 90% sa ninakaw na halaga kung ihahambing sa Enero 2022.
Dahil man ito sa mga dev na nagsisimula nang mas seryosohin ang seguridad o iba pang mga salik, mahalagang manatiling alam na ang cybersecurity ay isang tuluy-tuloy na labanan – at kung gusto ng mga dev na mapanatili ang isang positibong track record, mas mabuting manatili silang alerto.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/