Lendhub, platform pinjaman crypto lintas rantai yang relatif kecil yang beroperasi di HECO, dieksploitasi hingga $ 6 juta dolar awal Januari ini.
Kemungkinan Serangan Hanya Karena Pengodean yang Buruk
Serangan itu dilakukan karena penghapusan cToken IBSV yang tidak digunakan lagi dengan baik. Penggantinya, yang sudah aktif, memiliki titik harga yang sama pada saat itu, yaitu diizinkan aktor jahat yang tidak dikenal untuk memanipulasi harga dan menghabiskan crypto senilai $6 juta dari platform.
Menurut peneliti keamanan blockchain Halborn, analisis serangan yang tepat akan sulit dilakukan karena kontrak pintar yang bertanggung jawab atas harga kedua token sama-sama tidak diverifikasi. Selain itu, smart contract itu sendiri tidak diserang, hanya tokennya sendiri, yang seharusnya tidak didaftar secara bersamaan.
“Sementara smart contract yang relevan tidak diverifikasi — membuat analisis mendalam menjadi sulit — penyerang tidak perlu mengeksploitasi kerentanan smart contract untuk melakukan serangan ini. Serangan itu hanya mungkin terjadi karena dua versi bersaing dari token yang sama tersedia di pasar.”
Penarikan Sebagian di Tempat
Lebih dari 1100 ETH, bernilai sekitar $1.79 juta pada saat itu, dikirim ke TornadoCash hanya beberapa jam setelah eksploitasi.
Namun, sisa dana yang dicuri tampaknya bergerak lagi, menurut Peckshield dan Beosin.
2415 ETH, bernilai lebih dari $3.8 juta pada saat artikel ini ditulis, telah dikirim dari dompet yang terkait dengan serangan ke TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85 juta) menjadi Tornado Cash from @LendHubDefi pengeksploitasi
LendHub dieksploitasi, dan cryptos senilai $6M dicuri dari protokolnya pada 12 Januari.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3– PeckShieldAlert (@PeckShieldAlert) Februari 27, 2023
Ini membuat jumlah total yang dipindahkan ke TornadoCash menjadi 3515.4 ETH, yang saat ini bernilai lebih dari $5.7 juta. Ratusan ribu sisanya masih disimpan di dompet penyerang dan mungkin akan segera dikirim ke pencampur crypto.
Untungnya, ada lapisan perak dalam cerita ini – ini adalah yang terbesar menyerang pada perusahaan crypto selama bulan Januari dan jauh dari serangan Harmony atau Ronin tahun lalu. Secara total, Januari melihat sekitar $8.8 juta crypto hilang karena peretasan, pengurangan lebih dari 90% nilai curian jika dibandingkan dengan Januari 2022.
Apakah ini karena developer mulai memperhatikan keamanan dengan lebih serius atau faktor lain, penting untuk tetap sadar bahwa keamanan siber adalah pertempuran terus-menerus – dan jika developer ingin mempertahankan rekam jejak yang positif, sebaiknya mereka tetap waspada.
Binance Gratis $100 (Eksklusif): Gunakan link ini untuk mendaftar dan menerima $100 gratis dan 10% off biaya di Binance Futures bulan pertama (istilah).
Penawaran Khusus PrimeXBT: Gunakan link ini untuk mendaftar & memasukkan kode POTATO50 untuk menerima hingga $7,000 pada setoran Anda.
Sumber: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/