Lendhub 是一個在 HECO 上運行的相對較小的跨鏈加密貨幣借貸平台,今年 6 月初被利用了 XNUMX 萬美元。
僅由於編碼不當而可能發生攻擊
此次攻擊是由於對已棄用的 IBSV cToken 的刪除執行不當而導致的。 它的替代品已經投入使用,當時價格相同, 允許 不知名的不良行為者操縱定價並從平台中流失價值約 6 萬美元的加密貨幣。
根據區塊鏈安全研究員 哈爾伯恩,由於負責兩種代幣價格的智能合約都未經驗證,因此很難對攻擊進行適當的分析。 此外,智能合約本身並沒有受到攻擊,只有令牌本身,不應該同時上市。
“雖然相關的智能合約未經驗證——這使得深入分析變得困難——但攻擊者並不需要利用智能合約漏洞來進行這次攻擊。 攻擊之所以有可能,是因為市場上存在同一令牌的兩個競爭版本。”
當場部分提款
漏洞利用僅幾個小時後,就有超過 1100 個 ETH(當時價值約 1.79 萬美元)被發送到 TornadoCash。
然而,根據 Peckshield 和 Beosin 的說法,其餘被盜資金似乎又在轉移。
2415 ETH,在撰寫本文時價值超過 3.8 萬美元,已從與攻擊相關的錢包發送到 TornadoCash。
#PeckShieldAlert 〜2,415.4 $ ETH (~3.85M) 從 @LendHubDefi 剝削者
LendHub 被利用,價值 6 萬美元的加密貨幣於 12 月 XNUMX 日從其協議中被盜。https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3- PeckShieldAlert(@PeckShieldAlert) 2023 年 2 月 27 日
這使得轉移到 TornadoCash 的總金額高達 3515.4 ETH,目前價值超過 5.7 萬美元。 其餘的數十萬仍藏在攻擊者的錢包中,可能很快就會被發送到加密混合器。
值得慶幸的是,這個故事有一線希望——這是最大的 攻擊 8.8 月份對一家加密貨幣公司的攻擊與去年的 Harmony 或 Ronin 攻擊相去甚遠。 總體而言,90 月份價值約 2022 萬美元的加密貨幣因黑客攻擊而丟失,與 XNUMX 年 XNUMX 月相比,被盜價值減少了 XNUMX% 以上。
無論這是因為開發人員開始更加重視安全還是其他因素,重要的是要意識到網絡安全是一場持久戰——如果開發人員想要保持積極的記錄,他們最好保持警惕。
來源:https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/