Lendhub, una piattaforma di prestito crittografico cross-chain relativamente piccola che opera su HECO, è stata sfruttata per un importo di $ 6 milioni di dollari all'inizio di gennaio.
Attacco possibile solo a causa della scarsa codifica
L'attacco è stato effettuato a causa di una rimozione mal eseguita di un cToken IBSV deprecato. La sua sostituzione, che era già attiva, aveva un prezzo identico all'epoca, che permesso lo sconosciuto cattivo attore per manipolare i prezzi e drenare circa $ 6 milioni di criptovalute dalla piattaforma.
Secondo il ricercatore di sicurezza blockchain Halborn, un'analisi corretta dell'attacco sarà difficile da eseguire in quanto gli smart contract responsabili del prezzo dei due token erano entrambi non verificati. Inoltre, non sono stati attaccati gli smart contract stessi, solo i token stessi, che non avrebbero dovuto essere quotati contemporaneamente.
“Sebbene i contratti intelligenti pertinenti non siano verificati, rendendo difficile un'analisi approfondita, l'attaccante non aveva bisogno di sfruttare le vulnerabilità dei contratti intelligenti per eseguire questo attacco. L'attacco è stato possibile solo perché sul mercato erano disponibili due versioni concorrenti dello stesso token".
Ritiro parziale in loco
Poco più di 1100 ETH, per un valore di circa $ 1.79 milioni all'epoca, sono stati inviati a TornadoCash poche ore dopo l'exploit.
Tuttavia, il resto dei fondi rubati sembra essere di nuovo in movimento, secondo sia Peckshield che Beosin.
2415 ETH, del valore di oltre 3.8 milioni di dollari al momento della stesura di questo articolo, sono stati inviati da un portafoglio associato all'attacco a TornadoCash.
#Allerta PeckShield ~ 2,415.4 $ ETH (~3.85 milioni) in Tornado Cash da @LendHubDefi sfruttatori
LendHub è stato sfruttato e il 6 gennaio sono state rubate dal suo protocollo 12 milioni di dollari in criptovalute.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) 27 Febbraio 2023
Ciò porta l'importo totale spostato su TornadoCash fino a 3515.4 ETH, che attualmente vale oltre $ 5.7 milioni. Le restanti centinaia di migliaia sono ancora nascoste nel portafoglio dell'attaccante e saranno probabilmente inviate a breve a un cripto mixer.
Per fortuna, c'è un lato positivo in questa storia: questa è stata la più grande attacco su una società di criptovalute durante il mese di gennaio ed è molto diverso dagli attacchi Harmony o Ronin dell'anno scorso. In totale, a gennaio sono state perse criptovalute per un valore di circa 8.8 milioni di dollari a causa degli hacker, una riduzione di oltre il 90% del valore rubato rispetto a gennaio 2022.
Che ciò sia dovuto al fatto che gli sviluppatori iniziano a prendere più seriamente la sicurezza o ad altri fattori, è importante essere consapevoli del fatto che la sicurezza informatica è una battaglia costante e se gli sviluppatori vogliono mantenere un track record positivo, è meglio che stiano all'erta.
Binance Free $ 100 (esclusivo): Usa questo link per registrarti e ricevere $100 gratuiti e il 10% di sconto sulle commissioni su Binance Futures il primo mese (condizioni).
Offerta speciale PrimeXBT: Usa questo link per registrarti e inserire il codice POTATO50 per ricevere fino a $ 7,000 sui tuoi depositi.
Fonte: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/