Lendhub, een relatief klein cross-chain crypto-uitleenplatform dat op HECO werkt, werd eerder deze januari voor $ 6 miljoen uitgebuit.
Aanval alleen mogelijk vanwege slechte codering
De aanval werd uitgevoerd vanwege een slecht uitgevoerde verwijdering van een verouderde IBSV cToken. De vervanger, die al actief was, had destijds een identiek prijsniveau, wat toegestaan de onbekende slechte acteur om de prijzen te manipuleren en ongeveer $ 6 miljoen aan crypto van het platform af te tappen.
Volgens blockchain-beveiligingsonderzoeker Halborn, zal een goede analyse van de aanval moeilijk uit te voeren zijn, aangezien de slimme contracten die verantwoordelijk zijn voor de prijs van de twee tokens beide niet geverifieerd waren. Bovendien werden de slimme contracten zelf niet aangevallen, alleen de tokens zelf, die niet tegelijkertijd hadden mogen worden vermeld.
“Hoewel de relevante slimme contracten niet geverifieerd zijn – wat een diepgaande analyse moeilijk maakt – hoefde de aanvaller geen misbruik te maken van de kwetsbaarheden van slimme contracten om deze aanval uit te voeren. De aanval was alleen mogelijk omdat er twee concurrerende versies van hetzelfde token op de markt waren.”
Gedeeltelijke opname ter plaatse
Iets meer dan 1100 ETH, destijds ongeveer $ 1.79 miljoen waard, werd enkele uren na de exploit naar TornadoCash gestuurd.
De rest van het gestolen geld lijkt echter weer in beweging te komen, volgens zowel Peckshield als Beosin.
2415 ETH, met een waarde van meer dan $ 3.8 miljoen op het moment dat dit artikel werd geschreven, is vanuit een portemonnee in verband met de aanval naar TornadoCash gestuurd.
#PeckShieldAlert ~ 2,415.4 $ ETH (~ 3.85 miljoen) in Tornado Cash van @LendHubDefi uitbuiters
LendHub werd uitgebuit en op 6 januari werd voor $ 12 miljoen aan crypto's uit het protocol gestolen.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3—PeckShieldAlert (@PeckShieldAlert) 27 februari 2023
Dit brengt het totale bedrag dat naar TornadoCash is verplaatst op 3515.4 ETH, momenteel meer dan $ 5.7 miljoen waard. De overige honderdduizenden zijn nog steeds opgeborgen in de portemonnee van de aanvaller en zullen waarschijnlijk binnenkort naar een cryptomixer worden gestuurd.
Gelukkig zit er een zilveren randje aan dit verhaal - dit was het grootste aanvallen op een cryptobedrijf in de maand januari en staat ver af van de Harmony- of Ronin-aanvallen van vorig jaar. In totaal ging in januari ongeveer $ 8.8 miljoen aan crypto verloren door hacks, een vermindering van meer dan 90% in gestolen waarde in vergelijking met januari 2022.
Of dit nu komt doordat ontwikkelaars beveiliging serieuzer beginnen te nemen of door andere factoren, het is belangrijk om je ervan bewust te blijven dat cyberbeveiliging een constante strijd is – en als ontwikkelaars een positieve staat van dienst willen behouden, kunnen ze maar beter alert blijven.
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/