Lendhub, une plate-forme de prêt cryptographique inter-chaînes relativement petite opérant sur HECO, a été exploitée à hauteur de 6 millions de dollars plus tôt en janvier.
Attaque possible uniquement en raison d'un mauvais codage
L'attaque a été menée en raison d'une suppression mal exécutée d'un cToken IBSV obsolète. Son remplaçant, déjà actif, avait un prix identique à l'époque, ce qui permis le mauvais acteur inconnu pour manipuler les prix et drainer environ 6 millions de dollars de crypto de la plate-forme.
Selon un chercheur en sécurité blockchain Halborn, une analyse correcte de l'attaque sera difficile à réaliser car les contrats intelligents responsables du prix des deux jetons n'ont pas été vérifiés. De plus, les contrats intelligents eux-mêmes n'ont pas été attaqués, seuls les jetons eux-mêmes, qui n'auraient pas dû être répertoriés simultanément.
"Bien que les contrats intelligents pertinents ne soient pas vérifiés, ce qui rend difficile une analyse approfondie, l'attaquant n'a pas eu besoin d'exploiter les vulnérabilités des contrats intelligents pour mener à bien cette attaque. L'attaque n'a été possible que parce que deux versions concurrentes du même jeton étaient disponibles sur le marché.
Retrait partiel sur place
Un peu plus de 1100 ETH, d'une valeur d'environ 1.79 million de dollars à l'époque, ont été envoyés à TornadoCash quelques heures seulement après l'exploit.
Cependant, le reste des fonds volés semble bouger à nouveau, selon Peckshield et Beosin.
2415 ETH, d'une valeur de plus de 3.8 millions de dollars au moment de la rédaction de cet article, ont été envoyés depuis un portefeuille associé à l'attaque à TornadoCash.
#AlertePeckShield ~ 2,415.4 $ ETH (~3.85M) en Tornado Cash de @LendHubDefi exploiteurs
LendHub a été exploité et 6 millions de dollars de cryptos ont été volés à son protocole le 12 janvier.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3– PeckShieldAlert (@PeckShieldAlert) 27 février 2023
Cela porte le montant total transféré à TornadoCash à 3515.4 ETH, d'une valeur actuelle de plus de 5.7 millions de dollars. Les centaines de milliers restants sont toujours cachés dans le portefeuille de l'attaquant et seront probablement envoyés à un mélangeur crypto sous peu.
Heureusement, il y a une doublure argentée dans cette histoire - c'était la plus grande attaquer sur une société de cryptographie au cours du mois de janvier et est bien loin des attaques Harmony ou Ronin de l'année dernière. Au total, janvier a vu environ 8.8 millions de dollars de crypto perdus à cause de piratages, une réduction de plus de 90 % de la valeur volée par rapport à janvier 2022.
Que ce soit parce que les développeurs commencent à prendre la sécurité plus au sérieux ou pour d'autres facteurs, il est important de garder à l'esprit que la cybersécurité est une bataille constante - et si les développeurs veulent garder un bilan positif, ils doivent rester vigilants.
100 $ gratuits Binance (exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT: Utilisez ce lien pour vous inscrire et entrer le code POTATO50 pour recevoir jusqu'à 7,000 XNUMX $ sur vos dépôts.
Source : https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/