HECO の上で動作する比較的小規模なクロスチェーンの仮想通貨レンディング プラットフォームである Lendhub は、1 月初旬に 600 万ドルにまで活用されました。
コーディングが不十分なため、攻撃のみ可能
この攻撃は、非推奨の IBSV cToken の削除に失敗したために実行されました。すでに稼働していたその代替品は、当時と同じ値札を持っていたため、未知の悪役が価格を操作し、プラットフォームから約 600 万ドル相当の暗号通貨を吸い上げることができました。
ブロックチェーンのセキュリティ研究者であるHalborn 氏によると、2 つのトークンの価格に関与するスマート コントラクトがどちらも検証されていなかったため、攻撃を適切に分析することは困難です。さらに、スマート コントラクト自体は攻撃されず、同時にリストされるべきではないトークン自体が攻撃されました。
「関連するスマート コントラクトは検証されていないため、詳細な分析は困難ですが、攻撃者はこの攻撃を実行するためにスマート コントラクトの脆弱性を悪用する必要はありませんでした。攻撃が可能になったのは、同じトークンの競合する 2 つのバージョンが市場で入手可能だったからです。」
現地で部分回収
エクスプロイトから数時間以内に、1,100 ETH 強(当時の価値は約 179 万ドル)が TornadoCash に送信されました。
しかし、Peckshield と Beosin の両方によると、盗まれた残りの資金は再び動いているようです。
この記事の執筆時点で 380 万ドル以上の価値がある 2415 ETH は、TornadoCash 攻撃に関連するウォレットから送信されました。
#PeckShieldAlert @LendHubDefi Exploiters からのトルネード キャッシュで ~2,415.4 $ETH (~385 万)
LendHub が悪用され、1 月 12 日にそのプロトコルから 600 万ドル相当の暗号が盗まれました。 https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert (@PeckShieldAlert) 2023 年 2 月 27 日
これにより、TornadoCash に移動した合計金額は 3515.4 ETH になり、現在の価値は 570 万ドルを超えます。残りの数十万はまだ攻撃者のウォレットに隠されているため、間もなく暗号化ミキサーに送信される可能性があります。
ありがたいことに、この話には明るい兆しがあります。これは 1 月の仮想通貨企業に対する最大の攻撃であり、昨年の Harmony や Ronin の攻撃とはかけ離れています。合計で、1 月に約 880 万ドル相当の仮想通貨がハッカーに盗まれ、盗まれた価値は 2022 年 1 月と比較して 90% 以上減少しました。
これは、開発者がセキュリティをより真剣に考え始めているためなのか、それとも他の要因によるものなのかにかかわらず、サイバーセキュリティは絶え間ない戦いであることを認識しておくことが重要であり、開発者が良好な実績を維持するためには、引き続き注意を払う必要があります.
投稿Lendhub Exploiter Moves Proceeds to TornadoCash は、 CryptoPotatoで最初に登場しました。