Lendhub, una piattaforma di prestito crittografico cross-chain relativamente piccola che opera su HECO, è stata sfruttata per un importo di $ 6 milioni di dollari all'inizio di gennaio.
Attacco possibile solo a causa della scarsa codifica
L'attacco è stato effettuato a causa di una rimozione mal eseguita di un cToken IBSV deprecato. La sua sostituzione, che era già attiva, aveva un prezzo identico all'epoca, il che ha permesso allo sconosciuto cattivo attore di manipolare i prezzi e drenare circa $ 6 milioni di criptovalute dalla piattaforma.
Secondo il ricercatore di sicurezza blockchain Halborn , un'analisi corretta dell'attacco sarà difficile da eseguire in quanto i contratti intelligenti responsabili del prezzo dei due token erano entrambi non verificati. Inoltre, non sono stati attaccati gli smart contract stessi, solo i token stessi, che non avrebbero dovuto essere quotati contemporaneamente.
“Sebbene i contratti intelligenti pertinenti non siano verificati, rendendo difficile un'analisi approfondita, l'attaccante non aveva bisogno di sfruttare le vulnerabilità dei contratti intelligenti per eseguire questo attacco. L'attacco è stato possibile solo perché sul mercato erano disponibili due versioni concorrenti dello stesso token".
Ritiro parziale in loco
Poco più di 1100 ETH, per un valore di circa $ 1,79 milioni all'epoca, sono stati inviati a TornadoCash poche ore dopo l'exploit.
Tuttavia, il resto dei fondi rubati sembra essere di nuovo in movimento, secondo sia Peckshield che Beosin.
2415 ETH, del valore di oltre 3,8 milioni di dollari al momento della stesura di questo articolo, sono stati inviati da un portafoglio associato all'attacco a TornadoCash.
#PeckShieldAlert ~2.415,4 $ETH (~3,85 milioni) in Tornado Cash dagli sfruttatori di @LendHubDefi
LendHub è stato sfruttato e il valore di $ 6 milioni di criptovalute è stato rubato dal suo protocollo il 12 gennaio. https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert (@PeckShieldAlert) 27 febbraio 2023
Ciò porta l'importo totale spostato su TornadoCash fino a 3515,4 ETH, che attualmente vale oltre $ 5,7 milioni. Le restanti centinaia di migliaia sono ancora nascoste nel portafoglio dell'attaccante e saranno probabilmente inviate a breve a un cripto mixer.
Per fortuna, c'è un lato positivo in questa storia: questo è stato il più grande attacco a un'azienda di criptovalute durante il mese di gennaio ed è molto diverso dagli attacchi Harmony o Ronin dell'anno scorso. In totale, a gennaio sono state perse criptovalute per un valore di circa 8,8 milioni di dollari a causa degli hacker, una riduzione di oltre il 90% del valore rubato rispetto a gennaio 2022.
Che ciò sia dovuto al fatto che gli sviluppatori iniziano a prendere più seriamente la sicurezza o ad altri fattori, è importante essere consapevoli del fatto che la sicurezza informatica è una battaglia costante e se gli sviluppatori vogliono mantenere un track record positivo, è meglio che stiano all'erta.
Il post Lendhub Exploiter Moves Proceeds to TornadoCash è apparso per la prima volta su CryptoPotato .