Лендхуб, относительно небольшая крипто-кредитовая платформа, работающая на HECO, была эксплуатирована на сумму 6 миллионов долларов в начале января этого года.
Атака возможна исключительно из -за плохого кодирования
Атака была проведена из-за плохо выполненного удаления устаревшего IBSV CTOKEN. В то время его замена, которая уже была активна, имела идентичную цену, которая позволила неизвестному плохому актеру манипулировать ценами и истощать криптографию на сумму около 6 миллионов долларов с платформы.
По словам исследователя безопасности блокчейна Хэлборн, надлежащий анализ атаки будет трудно выполнить, поскольку умные контракты, ответственные за цену двух токенов, оба были неверными. Кроме того, сами интеллектуальные контракты не подвергались нападению, только сами токены, которые не должны были быть перечислены одновременно.
«Хотя соответствующие интеллектуальные контракты не являются вывершенными-что затрудняет углубленный анализ-злоумышленнику не нужно было использовать уязвимости смарт-контракта для выполнения этой атаки. Атака была возможной только потому, что две конкурирующие версии одного и того же рынок."
Частичное вывод на месте
Чуть более 1100 ETH, стоимостью около 1,79 миллиона долларов в то время, были отправлены в Tornadocash всего несколько часов после эксплуатации.
Тем не менее, остальные украденные средства, по -видимому, снова движутся, по словам Пексилда и Беозина.
2415 ETH, стоимостью более 3,8 млн. Долл. США в то время, когда была написана эта статья, была отправлена из кошелька, связанного с атакой на торнадокаш.
#Peckshieldalert ~ 2 415,4 $ ETH (~ 3,85 м) в торнадо наличными от @lendhubdefi Exploiters
Lendhub был эксплуатирован, а криптооположение на сумму 6 миллионов долларов было украдено из его протокола 12 января .https: //t.co/vdxhltgr0o pic.Twitter.com/8fzy3v2fe3- Peckshieldalert (@peckshieldalert) 27 февраля 2023 г.
Это приводит к общей сумме, перемещенной в торнадокаш до 3515,4 ETH, в настоящее время стоит более 5,7 млн. Долл. США. Оставшиеся сотни тысяч по -прежнему спрятаны в кошельке злоумышленника и, вероятно, скоро будут отправлены в крипто -миксер.
К счастью, в этой истории есть серебряная подкладка - это была самая большая атака на крипто -компанию в течение января и далеко от атаки гармонии или Ронина прошлого года. В общей сложности, в январе крипториально около 8,8 млн. Долл. США, что было потеряно более 90% по сравнению с январем 2022 года.
Независимо от того, из -за того, что разработчики начинают относиться к безопасности более серьезно или другим факторам, важно по -прежнему осознавать, что кибербезопасность - это постоянная битва - и если разработчики хотят сохранить положительный послужной список, у них лучше всего оставаться бдительными.
Источник