Lendhub, một nền tảng cho vay tiền điện tử liên chuỗi tương đối nhỏ chạy trên HECO, đã được khai thác với giá 6 triệu đô la vào đầu tháng 1 năm nay.
Các cuộc tấn công chỉ có thể xảy ra do mã hóa kém
Cuộc tấn công là kết quả của việc xóa cToken IBSV không dùng nữa được thực hiện không đúng cách. Thay thế của nó đã được sử dụng ở cùng một mức giá, cho phép Những kẻ xấu không xác định đã thao túng giá và rút tiền điện tử trị giá khoảng 6 triệu đô la khỏi nền tảng.
dựa theo blockchain Nhà nghiên cứu bảo mật Halborn cho biết do các hợp đồng thông minh chưa được xác minh chịu trách nhiệm về giá của cả hai mã thông báo, nên rất khó để tiến hành phân tích chính xác về cuộc tấn công. Ngoài ra, bản thân hợp đồng thông minh không bị xâm phạm, chỉ có mã thông báo không được liệt kê cùng một lúc.
“Mặc dù các hợp đồng thông minh có liên quan chưa được xác minh — khiến việc phân tích chuyên sâu trở nên khó khăn — kẻ tấn công không cần khai thác các lỗ hổng hợp đồng thông minh để thực hiện cuộc tấn công này. Cuộc tấn công có thể xảy ra do hai phiên bản cạnh tranh giống nhau token Có sẵn trên thị trường. “
Rút một phần tại chỗ
Chỉ vài giờ sau khi khai thác, hơn 1.100 ETH (trị giá khoảng 1,79 triệu USD vào thời điểm đó) đã được gửi đến TornadoCash.
Tuy nhiên, theo Peckshield và Beosin, phần còn lại của số tiền bị đánh cắp dường như đang di chuyển trở lại.
2.415 ETH, trị giá hơn 3,8 triệu đô la tại thời điểm viết bài, đã được gửi đến TornadoCash từ các ví liên quan đến vụ tấn công.
#PeckShieldAlert ~2.415,4 $ ête (~3,85 triệu) từ @LendHubDefi người bóc lột
LendHub đã bị khai thác và số tiền điện tử trị giá 6 triệu đô la đã bị đánh cắp khỏi giao thức của nó vào ngày 12 tháng 1. pic.twitter.com/8FZY3v2Fe3– PeckShieldAlert (@PeckShieldAlert) Ngày 27 tháng 2 năm 2023
Điều này nâng tổng số tiền được chuyển sang TornadoCash lên con số khổng lồ 3515,4 ETH, hiện trị giá hơn 5,7 triệu đô la. Hàng trăm ngàn còn lại vẫn được lưu trữ trong ví của những kẻ tấn công và có thể sớm được gửi đến các máy trộn tiền điện tử.
Rất may, có một tia sáng cho câu chuyện này — đó là điều lớn nhất tấn công Tại một công ty tiền điện tử vào tháng 1, với Harmony Hay cuộc tấn công của Ronin năm ngoái. Nhìn chung, khoảng 8,8 triệu đô la tiền điện tử đã bị mất do hack vào tháng 1, giảm hơn 90% giá trị bị đánh cắp so với tháng 1 năm 2022.
Cho dù điều này là do các nhà phát triển bắt đầu coi trọng vấn đề bảo mật hơn hay do các yếu tố khác, thì điều quan trọng là phải nhận ra rằng an ninh mạng là một cuộc chiến không ngừng — và tốt hơn hết các nhà phát triển nên cảnh giác nếu họ muốn duy trì thành tích tích cực.
