Lendhub 是一個相對較小的跨鏈加密借貸平台,在 HECO 之上運行,1 月初的槓桿率達到 600 萬美元。
僅由於編碼不當才可能進行攻擊
攻擊是由於對已棄用的 IBSV cToken 的拙劣刪除而實施的。它的替代品已經上線,當時具有相同的價格標籤,這使得不知名的不良行為者可以操縱價格並從平台上竊取價值約 600 萬美元的加密貨幣。
據區塊鏈安全研究員Halborn稱,由於負責兩種代幣價格的智能合約都未經驗證,因此很難對攻擊進行適當的分析。此外,智能合約本身並沒有受到攻擊,只是代幣本身,不應該同時上市。
“雖然相關智能合約未經驗證,難以深入分析,但攻擊者並不需要利用智能合約漏洞進行此次攻擊。只有在市場上可以買到同一令牌的兩個競爭版本時,攻擊才有可能發生。”
現場部分採集
超過 1100 個 ETH,當時價值約 179 萬美元,在漏洞利用後的幾個小時內被發送到 TornadoCash。
然而,根據 Peckshield 和 Beosin 的說法,其餘被盜資金似乎再次轉移。
截至撰寫本文時價值超過 380 萬美元的 2415 ETH 是從與 TornadoCash 攻擊相關的錢包發送的。
#PeckShieldAlert ~2,415.4 $ETH (~385 萬)來自@LendHubDefi Exploiters 的龍捲風現金
1 月 12 日,LendHub 被利用,價值 600 萬美元的加密貨幣從其協議中被盜。 https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3- PeckShieldAlert (@PeckShieldAlert) 2023 年 2 月 27 日
這使得轉移到 TornadoCash 的總金額高達 3515.4 ETH,目前價值超過 570 萬美元。其餘的數十萬仍隱藏在攻擊者的錢包中,很可能很快就會被發送到加密混合器。
值得慶幸的是,這個故事有一線希望:這是 1 月份對加密貨幣公司的最大攻擊,與去年的 Harmony 或 Ronin 攻擊相去甚遠。 1 月份,黑客總共丟失了價值約 880 萬美元的加密貨幣,與 2022 年 1 月相比,被盜價值減少了 90% 以上。
無論這是由於開發人員開始更加重視安全還是其他一些因素,重要的是要意識到網絡安全是一場持久戰,如果開發人員要保持積極的記錄,他們最好保持警惕。