Lendhub, palyginti maža kryžminių grandinių kriptovaliutų skolinimo platforma, veikianti HECO, buvo išnaudota iki 6 milijonų dolerių anksčiau šį sausį.
Išpuolis galimas tik dėl prasto kodavimo
Ataka buvo įvykdyta dėl prastai atlikto pasenusio IBSV cToken pašalinimo. Jo pakaitalas, kuris jau buvo aktyvus, tuo metu turėjo identišką kainą, kuri leidžiama nežinomas blogas veikėjas manipuliuoti kainodara ir nusausinti iš platformos apie 6 mln. USD vertės kriptovaliutų.
Pasak „blockchain“ saugumo tyrinėtojo Halbornas, bus sunku atlikti tinkamą atakos analizę, nes išmaniosios sutartys, atsakingos už dviejų žetonų kainą, buvo nepatvirtintos. Be to, nebuvo užpultos pačios išmaniosios sutartys, tik patys žetonai, kurie neturėjo būti išvardyti vienu metu.
„Nors atitinkamos išmaniosios sutartys yra nepatvirtintos, o tai apsunkina nuodugnią analizę, užpuolikui nereikėjo išnaudoti išmaniųjų sutarčių spragų, kad įvykdytų šią ataką. Ataka buvo įmanoma tik todėl, kad rinkoje buvo dvi konkuruojančios to paties žetono versijos.
Dalinis atsiėmimas vietoje
Praėjus vos kelioms valandoms po išnaudojimo, į TornadoCash buvo išsiųsta šiek tiek daugiau nei 1100 ETH, kurių vertė tuo metu buvo apie 1.79 mln.
Tačiau, pasak Peckshield ir Beosin, likusios pavogtos lėšos vėl juda.
2415 ETH, kurios vertė daugiau nei 3.8 mln. USD šio straipsnio rašymo metu, buvo išsiųsta iš piniginės, susijusios su ataka, į „TornadoCash“.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 mln.) į „Tornado Cash“ iš @LendHubDefi išnaudotojai
LendHub buvo išnaudotas, o sausio 6 d. iš jo protokolo buvo pavogta kriptovaliutų už 12 mln.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3– „PeckShieldAlert“ (@PeckShieldAlert) Vasaris 27, 2023
Tai padidina bendrą į TornadoCash perkeltą sumą iki 3515.4 ETH, šiuo metu jos vertė viršija 5.7 mln. Likę šimtai tūkstančių vis dar yra paslėpti užpuoliko piniginėje ir greičiausiai netrukus bus išsiųsti į kriptovaliutų maišytuvą.
Laimei, ši istorija turi sidabrinį pamušalą – tai buvo didžiausia pulti sausio mėnesį kriptovaliutų įmonėje ir yra toli nuo praėjusių metų Harmony ar Ronin atakų. Iš viso sausio mėnesį dėl įsilaužimų buvo prarasta apie 8.8 mln. USD vertės kriptovaliutų, o tai, palyginti su 90 m.
Nesvarbu, ar tai būtų dėl to, kad kūrėjai pradėjo rimčiau žiūrėti į saugumą, ar dėl kitų veiksnių, svarbu žinoti, kad kibernetinis saugumas yra nuolatinė kova – ir jei kūrėjai nori išlaikyti teigiamus rezultatus, jie turėtų būti budrūs.
„Binance Free“ 100 USD (išskirtinis): Naudokite šią nuorodą užsiregistruoti ir gauti 100 USD nemokamą ir 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
Specialus „PrimeXBT“ pasiūlymas: Naudokite šią nuorodą užsiregistruoti ir įvesti POTATO50 kodą, kad gautumėte iki 7,000 USD už savo indėlius.
Šaltinis: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/