Lendhub Exploiter přesouvá příjmy do Tornadocash
Lendhub Exploiter přesouvá příjmy do Tornadocash
Lendhub, relativně malá kreditní úvěrová platforma křížového řetězce, která je provozována na HECO, byla využita na začátku ledna ve výši 6 milionů dolarů.
Útok je možný pouze kvůli špatnému kódování
Útok byl proveden kvůli špatně provedenému odstranění zastaralého IBSV CToken. Jeho již aktivní náhrada měla v té době stejnou cenu, Neznámým špatným actorem a přibližně za to, že se vrátí a kolem $ 6 milionů z platformy.
Podle seriátora Blockchain Security Researcher bude řádná analýza útoku obtížná, protože inteligentní smlouvy, které jsou odpovědné za cenu obou žetonů, nebyly ověřeny. Inteligentní smlouvy navíc nebyly napadeny, ale pouze samotné žetony, které by neměly být uvedeny současně.
"Zatímco příslušné inteligentní smlouvy nejsou ověřeny-což ztěžuje hloubkovou analýzu-útočník nemusel využít slabé body inteligentní smlouvy, aby mohl provést tento útok. Útok byl možný pouze proto, že na trhu byly k dispozici dvě konkurenční verze stejného tokenu."
Částečné stažení na místě
O něco více než 1100 ETH v době přibližně 1,79 milionu USD bylo posláno do Tornadocash jen několik hodin po exploitu.
Zdá se, že zbytek ukradených fondů se podle Peckshield a Beosin znovu pohybuje.
2415 ETH, který v době vytvoření tohoto článku stál v hodnotě přes 3,8 milionu dolarů, bylo posláno do Tornadocash.
$ eth (~ 3,85 milionu) v tornádu) "https://twitter.com/Lendhubdefi?ref_src=twsrc%5Etfw" Data-wpel-Link = "External">@lendhubdefi Exploiters
Lendhub byl ukládán z jeho protokolu "https://t.co/8fzy3v2fe3" Data-wpel-Link = "externí"> pic.twitter.com/8fzy3v2fe3
-PeckshielDalert (@peckshieldAlert) Ať už je to proto, že vývojáři začínají brát zabezpečení vážněji nebo jiné faktory, je důležité zůstat si vědom toho, že kybernetická bezpečnost je neustálým bojem - a pokud vývojáři chtějí vést pozitivní rovnováhu s úspěchem, měli by být ostražití.