Lendhub Exploiter 將收益轉移到 TornadoCash

Lendhub 是一個在 HECO 上運行的相對較小的跨鏈加密貨幣借貸平台，今年 6 月初被利用了 XNUMX 萬美元。

僅由於編碼不當而可能發生攻擊

此次攻擊是由於對已棄用的 IBSV cToken 的刪除執行不當而導致的。 它的替代品已經投入使用，當時價格相同， 允許 不知名的不良行為者操縱定價並從平台中流失價值約 6 萬美元的加密貨幣。

根據區塊鏈安全研究員 哈爾伯恩，由於負責兩種代幣價格的智能合約都未經驗證，因此很難對攻擊進行適當的分析。 此外，智能合約本身並沒有受到攻擊，只有令牌本身，不應該同時上市。

“雖然相關的智能合約未經驗證——這使得深入分析變得困難——但攻擊者並不需要利用智能合約漏洞來進行這次攻擊。 攻擊之所以有可能，是因為市場上存在同一令牌的兩個競爭版本。”

當場部分提款

漏洞利用僅幾個小時後，就有超過 1100 個 ETH（當時價值約 1.79 萬美元）被發送到 TornadoCash。

然而，根據 Peckshield 和 Beosin 的說法，其餘被盜資金似乎又在轉移。
2415 ETH，在撰寫本文時價值超過 3.8 萬美元，已從與攻擊相關的錢包發送到 TornadoCash。

#PeckShieldAlert 〜2,415.4 $ ETH (~3.85M) 從 @LendHubDefi 剝削者
LendHub 被利用，價值 6 萬美元的加密貨幣於 12 月 XNUMX 日從其協議中被盜。https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3

- PeckShieldAlert（@PeckShieldAlert） 2023 年 2 月 27 日

這使得轉移到 TornadoCash 的總金額高達 3515.4 ETH，目前價值超過 5.7 萬美元。 其餘的數十萬仍藏在攻擊者的錢包中，可能很快就會被發送到加密混合器。

值得慶幸的是，這個故事有一線希望——這是最大的 攻擊 8.8 月份對一家加密貨幣公司的攻擊與去年的 Harmony 或 Ronin 攻擊相去甚遠。 總體而言，90 月份價值約 2022 萬美元的加密貨幣因黑客攻擊而丟失，與 XNUMX 年 XNUMX 月相比，被盜價值減少了 XNUMX% 以上。

無論這是因為開發人員開始更加重視安全還是其他因素，重要的是要意識到網絡安全是一場持久戰——如果開發人員想要保持積極的記錄，他們最好保持警惕。