Lendhub, eine relativ kleine Cross-Chain-Krypto-Kreditplattform, die auf HECO betrieben wird, wurde Anfang Januar in Höhe von 6 Millionen Dollar ausgebeutet.
Inhaltsverzeichnis
Angriff nur wegen schlechter Codierung möglich
Der Angriff wurde aufgrund einer schlecht durchgeführten Entfernung eines veralteten IBSV-cTokens durchgeführt. Sein bereits aktiver Ersatz hatte zu diesem Zeitpunkt einen identischen Preispunkt, der erlaubt der unbekannte schlechte Schauspieler, um die Preisgestaltung zu manipulieren und Krypto im Wert von rund 6 Millionen Dollar von der Plattform abzuziehen.
Laut dem Blockchain-Sicherheitsforscher Halborn wird eine ordnungsgemäße Analyse des Angriffs schwierig sein, da die Smart Contracts, die für den Preis der beiden Token verantwortlich sind, beide nicht verifiziert wurden. Außerdem wurden nicht die Smart Contracts selbst angegriffen, sondern nur die Token selbst, die nicht gleichzeitig hätten gelistet werden dürfen.
„Während die relevanten Smart Contracts nicht verifiziert sind – was eine eingehende Analyse schwierig macht – musste der Angreifer keine Smart Contract-Schwachstellen ausnutzen, um diesen Angriff durchzuführen. Der Angriff war nur möglich, weil zwei konkurrierende Versionen desselben Tokens auf dem Markt erhältlich waren.“
Teilabhebung vor Ort
Etwas mehr als 1100 ETH im damaligen Wert von etwa 1,79 Millionen US-Dollar wurden nur wenige Stunden nach dem Exploit an TornadoCash gesendet.
Der Rest der gestohlenen Gelder scheint sich jedoch wieder zu bewegen, so Peckshield und Beosin.
2415 ETH, die zum Zeitpunkt der Erstellung dieses Artikels über 3,8 Millionen Dollar wert waren, wurden von einer Brieftasche, die mit dem Angriff in Verbindung steht, an TornadoCash gesendet.
#PeckShieldAlert ~2.415,4 $ETH (~3,85 Mio.) in Tornado Cash aus @LendHubDefi Ausbeuter
LendHub wurde ausgenutzt, und am 12. Januar wurden Kryptos im Wert von 6 Millionen Dollar aus seinem Protokoll gestohlen.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3
— PeckShieldAlert (@PeckShieldAlert) 27. Februar 2023
Dies erhöht den Gesamtbetrag, der an TornadoCash übertragen wurde, auf 3515,4 ETH, was derzeit einen Wert von über 5,7 Millionen US-Dollar hat. Die restlichen Hunderttausende stecken noch im Wallet des Angreifers und werden wohl in Kürze an einen Krypto-Mixer geschickt.
Zum Glück hat diese Geschichte einen Silberstreif am Horizont – das war der größte Attacke auf ein Kryptounternehmen im Januar und ist weit entfernt von den Harmony- oder Ronin-Angriffen des letzten Jahres. Insgesamt gingen im Januar Kryptowährungen im Wert von etwa 8,8 Millionen US-Dollar durch Hacks verloren, was einer Verringerung des gestohlenen Werts um über 90 % im Vergleich zu Januar 2022 entspricht.
Ob dies daran liegt, dass Entwickler anfangen, Sicherheit ernster zu nehmen, oder an anderen Faktoren, es ist wichtig, sich bewusst zu bleiben, dass Cybersicherheit ein ständiger Kampf ist – und wenn Entwickler eine positive Erfolgsbilanz führen wollen, sollten sie am besten wachsam bleiben.
.
-
Schwächelnder Euro und steigende Inflation: Schwere Zeiten für Verbraucher
-
Von Lokal zu Global: Identifikation Ihres Unternehmens durch den LEI-Code
- Neon-EVM revolutioniert dezentrale Anwendungen: Neue Lösung schließt die Kluft zwischen Ethereum und Solana
-
Ripple plant Expansion nach Großbritannien und Irland nach Sieg über SEC