Lendhubi, suhteliselt väikest ahelatevahelist krüptolaenuplatvormi, mis töötab HECO-s, kasutati selle jaanuari alguses 6 miljoni dollari väärtuses.
Rünnak on võimalik ainult halva kodeerimise tõttu
Rünnak toimus aegunud IBSV cTokeni halvasti teostatud eemaldamise tõttu. Selle juba aktiivne asendus oli tollal identse hinnapunktiga, mis lubatud tundmatu halb näitleja, kes manipuleerib hinnakujundusega ja eemaldab platvormilt umbes 6 miljoni dollari väärtuses krüptovarasid.
Plokiahela turvauurija sõnul Halborn, on ründe korralikku analüüsi raske läbi viia, kuna kahe märgi hinna eest vastutavad nutikad lepingud olid mõlemad kinnitamata. Pealegi ei rünnatud nutikaid lepinguid endid, vaid ainult žetoone endid, mida ei oleks tohtinud korraga loetleda.
"Kuigi asjakohased nutikad lepingud on kontrollimata, muutes põhjaliku analüüsi keeruliseks, ei pidanud ründaja selle rünnaku läbiviimiseks kasutama nutikate lepingute haavatavusi. Rünnak oli võimalik ainult seetõttu, et turul oli saadaval sama märgi kaks konkureerivat versiooni.
Osaline taganemine kohapeal
Veidi üle 1100 ETH, mille väärtus oli tol ajal umbes 1.79 miljonit dollarit, saadeti TornadoCashi vaid mõni tund pärast ärakasutamist.
Ülejäänud varastatud raha näib aga nii Peckshieldi kui ka Beosini sõnul taas liikuvat.
2415 ETH, mille väärtus oli selle artikli kirjutamise ajal üle 3.8 miljoni dollari, saadeti rünnakuga seotud rahakotist TornadoCashi.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85M) Tornado Cashisse alates @LendHubDefi ekspluateerijad
LendHubi kasutati ära ja 6. jaanuaril varastati selle protokollist 12 miljoni dollari väärtuses krüptosid.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3-PeckShieldAlert (@PeckShieldAlert) Veebruar 27, 2023
See tõstab TornadoCashi teisaldatud kogusumma 3515.4 ETH-ni, mis on praegu väärt üle 5.7 miljoni dollari. Ülejäänud sajad tuhanded on endiselt ründaja rahakotis ja saadetakse tõenäoliselt peagi krüptomikserisse.
Õnneks on sellel lool hõbedane vooder – see oli suurim rünnak jaanuaril krüptoettevõttes ja on eelmise aasta Harmony või Ronini rünnakutest kaugel. Kokku kaotati jaanuaris häkkide tõttu krüptoraha umbes 8.8 miljoni dollari väärtuses, mis on 90. aasta jaanuariga võrreldes varastatud väärtus üle 2022%.
Olenemata sellest, kas arendajad on hakanud turvalisust tõsisemalt võtma või muud tegurid, on oluline olla teadlik sellest, et küberturvalisus on pidev võitlus – ja kui arendajad soovivad hoida positiivseid tulemusi, on neil parem olla valvel.
Binance tasuta 100 $ (eksklusiivne): Kasuta seda linki registreeruda ja saada Binance Futuresi esimesel kuul 100 dollarit tasuta ja 10% allahindlust (tingimused).
PrimeXBT eripakkumine: Kasuta seda linki registreerumiseks ja sisestage POTATO50 kood, et saada kuni 7,000 dollarit oma sissemaksete pealt.
Allikas: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/