HECO で運営されている比較的小規模なクロスチェーンの仮想通貨レンディング プラットフォームである Lendhub は、今年 6 月初めに XNUMX 万ドルの規模で悪用されました。
コーディングが不十分なために攻撃が可能
この攻撃は、非推奨の IBSV cToken の不適切な削除が原因で実行されました。 すでにアクティブだったその代替品は、当時と同じ価格帯でした。 許可されて 未知の悪役が価格を操作し、プラットフォームから約 6 万ドル相当の仮想通貨を流出させました。
ブロックチェーンのセキュリティ研究者によると ハルボーン、XNUMX つのトークンの価格に関与するスマート コントラクトが両方とも検証されていなかったため、攻撃の適切な分析を実行することは困難です。 さらに、スマート コントラクト自体は攻撃されず、同時にリストされるべきではないトークン自体が攻撃されました。
「関連するスマート コントラクトが検証されていないため、詳細な分析が困難になっていますが、攻撃者はこの攻撃を実行するためにスマート コントラクトの脆弱性を悪用する必要はありませんでした。 攻撃が可能になったのは、同じトークンの競合する XNUMX つのバージョンが市場で入手可能だったからです。」
その場で一部引落し
エクスプロイトからわずか数時間後に、1100 ETH 強(当時の価値は約 1.79 万ドル)が TornadoCash に送信されました。
しかし、Peckshield と Beosin の両方によると、盗まれた残りの資金は再び動いているようです。
この記事の執筆時点で 2415 万ドル以上の価値がある 3.8 ETH が、攻撃に関連するウォレットから TornadoCash に送信されました。
#ペックシールドアラート 〜2,415.4 $ ETH (~3.85M) から Tornado Cash へ @LendHubDefi 搾取者
LendHub が悪用され、6 月 12 日にそのプロトコルから XNUMX 万ドル相当の暗号が盗まれました。https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert(@PeckShieldAlert) 2023 年 2 月 27 日
これにより、TornadoCash に移動した合計金額は 3515.4 ETH になり、現在の価値は 5.7 万ドルを超えます。 残りの数十万はまだ攻撃者のウォレットに保管されており、おそらくまもなく暗号ミキサーに送信されます。
ありがたいことに、この話には明るい兆しがあります。 攻撃 これは、昨年の Harmony や Ronin の攻撃とはかけ離れています。 合計すると、8.8 月にはハッキングによって約 90 万ドル相当の仮想通貨が失われ、2022 年 XNUMX 月と比較して、盗まれた価値が XNUMX% 以上減少しました。
これは、開発者がセキュリティをより真剣に考え始めているためであろうと、他の要因であろうと、サイバーセキュリティは絶え間ない戦いであることを認識し続けることが重要です。
Binance Free $ 100(独占): このリンクを使用する Binance Futuresの最初の月に登録して$ 100の無料と10%の手数料を受け取る (条件).
PrimeXBT特別オファー: このリンクを使用する 登録してPOTATO50コードを入力すると、最大$ 7,000のデポジットを受け取ることができます。
ソース: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/