Lendhub، یک پلتفرم وام دهی کریپتو متقابل زنجیره ای نسبتاً کوچک که بر روی HECO کار می کند، در اوایل ژانویه امسال به مبلغ 6 میلیون دلار مورد بهره برداری قرار گرفت.
حمله فقط به دلیل کدنویسی ضعیف امکان پذیر است
این حمله به دلیل حذف ضعیف یک توکن IBSV منسوخ انجام شد. جایگزینی آن که قبلاً فعال بود، در آن زمان قیمت یکسانی داشت مجاز بازیگر بد ناشناخته ای که قیمت گذاری را دستکاری کرده و حدود 6 میلیون دلار ارز دیجیتال را از این پلتفرم خارج می کند.
به گفته محقق امنیت بلاک چین هالبورن، انجام تجزیه و تحلیل مناسب از حمله دشوار خواهد بود زیرا قراردادهای هوشمند مسئول قیمت دو توکن هر دو تأیید نشده بودند. علاوه بر این، خود قراردادهای هوشمند مورد حمله قرار نگرفتند، فقط خود توکنها مورد حمله قرار گرفتند که نباید به طور همزمان فهرست میشدند.
«در حالی که قراردادهای هوشمند مربوطه تأیید نشده اند - که تجزیه و تحلیل عمیق را دشوار می کند - مهاجم برای انجام این حمله نیازی به سوء استفاده از آسیب پذیری های قرارداد هوشمند نداشت. حمله تنها به این دلیل امکان پذیر بود که دو نسخه رقیب از یک توکن در بازار موجود بود.
برداشت جزئی در محل
اندکی بیش از 1100 ETH، به ارزش حدود 1.79 میلیون دلار در آن زمان، تنها چند ساعت پس از اکسپلویت به TornadoCash ارسال شد.
با این حال، طبق گفته Peckshield و Beosin، بقیه وجوه دزدیده شده دوباره در حال حرکت هستند.
2415 ETH، به ارزش بیش از 3.8 میلیون دلار در زمان نگارش این مقاله، از کیف پول مرتبط با حمله به TornadoCash ارسال شده است.
#PeckShieldAlert ~ 2,415.4 $ ETH (~ 3.85 میلیون) به تورنادو نقدی از @LendHubDefi استثمارگران
LendHub مورد سوء استفاده قرار گرفت و 6 میلیون دلار ارز دیجیتال از پروتکل آن در 12 ژانویه به سرقت رفت.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3- peckshieldalert (peckshieldalert) فوریه 27، 2023
این مبلغ کل انتقال یافته به TornadoCash را به 3515.4 ETH می رساند که در حال حاضر بیش از 5.7 میلیون دلار ارزش دارد. صدها هزار باقیمانده هنوز در کیف پول مهاجم نگهداری می شوند و احتمالاً به زودی به یک میکسر رمزنگاری ارسال خواهند شد.
خوشبختانه، یک خط نقره ای در این داستان وجود دارد - این بزرگترین داستان بود حمله در یک شرکت رمزنگاری در ماه ژانویه و با حملات هارمونی یا رونین در سال گذشته فاصله زیادی دارد. در مجموع، ژانویه شاهد از دست دادن حدود 8.8 میلیون دلار ارز دیجیتال در اثر هک بود که در مقایسه با ژانویه 90 بیش از 2022 درصد ارزش سرقت شده کاهش داشت.
چه به خاطر این باشد که توسعه دهندگان شروع به جدیتر گرفتن امنیت کردهاند یا عوامل دیگر، مهم است که آگاه باشید که امنیت سایبری یک نبرد دائمی است – و اگر برنامهنویسها میخواهند سابقه مثبتی داشته باشند، بهتر است هوشیار باشند.
100 دلار رایگان بایننس (انحصاری): از این لینک استفاده کنید برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures (قوانین و مقررات).
پیشنهاد ویژه PrimeXBT: از این لینک استفاده کنید برای ثبت نام و وارد کردن کد POTATO50 تا سقف 7,000 دلار در سپرده های خود دریافت کنید.
منبع: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/