Lendhub ซึ่งเป็นแพลตฟอร์มการให้ยืม crypto แบบ cross-chain ที่ค่อนข้างเล็กซึ่งดำเนินการบน HECO ถูกใช้ประโยชน์โดยมีมูลค่าถึง 6 ล้านดอลลาร์เมื่อต้นเดือนมกราคมที่ผ่านมา
การโจมตีเป็นไปได้เพียงเพราะการเข้ารหัสที่ไม่ดี
การโจมตีเกิดขึ้นเนื่องจากการลบโทเค็น IBSV ที่เลิกใช้แล้วที่ดำเนินการได้ไม่ดี การแทนที่ซึ่งใช้งานอยู่แล้วมีราคาที่เท่ากัน ณ เวลานั้นซึ่ง อนุญาตให้ นักแสดงที่ไม่ดีที่ไม่รู้จักเพื่อจัดการกับราคาและระบาย crypto มูลค่าประมาณ 6 ล้านดอลลาร์ออกจากแพลตฟอร์ม
ตามที่นักวิจัยด้านความปลอดภัยบล็อคเชน ฮาลบอร์นการวิเคราะห์การโจมตีที่เหมาะสมจะทำได้ยาก เนื่องจากสัญญาอัจฉริยะที่รับผิดชอบราคาของโทเค็นทั้งสองนั้นยังไม่ได้รับการยืนยันทั้งคู่ นอกจากนี้ ตัวสัญญาอัจฉริยะเองไม่ได้ถูกโจมตี มีเพียงโทเค็นเท่านั้นที่ไม่ควรถูกแสดงรายการพร้อมกัน
“แม้ว่าสัญญาอัจฉริยะที่เกี่ยวข้องจะไม่ได้รับการยืนยัน — ทำให้การวิเคราะห์เชิงลึกทำได้ยาก — ผู้โจมตีไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่ของสัญญาอัจฉริยะเพื่อดำเนินการโจมตีนี้ การโจมตีเกิดขึ้นได้เพราะมีโทเค็นเดียวกันสองรุ่นที่แข่งขันกันในตลาด”
การถอนบางส่วนได้ทันที
เพียง 1100 ETH ซึ่งมีมูลค่าประมาณ 1.79 ล้านดอลลาร์ในขณะนั้น ถูกส่งไปยัง TornadoCash เพียงไม่กี่ชั่วโมงหลังจากการเจาะระบบ
อย่างไรก็ตาม เงินที่เหลือที่ถูกขโมยดูเหมือนจะเคลื่อนไหวอีกครั้ง ทั้ง Peckshield และ Beosin กล่าว
2415 ETH ซึ่งมีมูลค่ามากกว่า $3.8 ล้านในขณะที่เขียนบทความนี้ ถูกส่งจากกระเป๋าเงินที่เกี่ยวข้องกับการโจมตีไปยัง TornadoCash
#แจ้งเตือนเป๊กชิลด์ ~ 2,415.4 $ ผลประโยชน์ทับซ้อน (~3.85M) เป็น Tornado Cash จาก @LendHubDefi ผู้แสวงประโยชน์
LendHub ถูกนำไปใช้ประโยชน์ และ cryptos มูลค่า 6 ล้านดอลลาร์ถูกขโมยไปจากโปรโตคอลในวันที่ 12 มกราคมhttps://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3– PeckShieldAlert (@PeckShieldAlert) กุมภาพันธ์ 27, 2023
ทำให้จำนวนเงินทั้งหมดที่โอนไปยัง TornadoCash สูงถึง 3515.4 ETH ซึ่งปัจจุบันมีมูลค่ามากกว่า 5.7 ล้านดอลลาร์ ส่วนที่เหลืออีกนับแสนยังคงถูกเก็บไว้ในกระเป๋าเงินของผู้โจมตี และอาจจะถูกส่งไปยังเครื่องผสมการเข้ารหัสลับในไม่ช้า
โชคดีที่มีซับในสำหรับเรื่องนี้ – นี่เป็นเรื่องที่ใหญ่ที่สุด โจมตี บริษัท crypto ในช่วงเดือนมกราคมและห่างไกลจากการโจมตี Harmony หรือ Ronin ในปีที่แล้ว โดยรวมแล้ว เดือนมกราคมมีมูลค่าประมาณ 8.8 ล้านเหรียญสหรัฐที่หายไปจากการแฮ็ก ซึ่งมีมูลค่าลดลงกว่า 90% เมื่อเทียบกับเดือนมกราคม 2022
ไม่ว่าจะเป็นเพราะ devs เริ่มให้ความสำคัญกับความปลอดภัยมากขึ้นหรือปัจจัยอื่น ๆ สิ่งสำคัญคือต้องตระหนักอยู่เสมอว่าการรักษาความปลอดภัยในโลกไซเบอร์นั้นเป็นการต่อสู้ที่ไม่หยุดนิ่ง และหาก devs ต้องการรักษาผลงานในเชิงบวก พวกเขาควรตื่นตัวอยู่เสมอ
Binance ฟรี $100 (พิเศษ): ใช้ลิงก์นี้ เพื่อลงทะเบียนและรับฟรี $100 และค่าธรรมเนียม 10% สำหรับ Binance Futures เดือนแรก (เงื่อนไขการใช้บริการ).
ข้อเสนอพิเศษ PrimeXBT: ใช้ลิงก์นี้ เพื่อลงทะเบียนและป้อนรหัส POTATO50 เพื่อรับสูงถึง $7,000 จากเงินฝากของคุณ
ที่มา: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/