HECO에서 운영되는 상대적으로 작은 크로스체인 암호화폐 대출 플랫폼인 Lendhub는 올 6월 초 XNUMX만 달러 규모로 악용되었습니다.
잘못된 코딩으로 인해 가능한 공격
이 공격은 더 이상 사용되지 않는 IBSV cToken의 제대로 실행되지 않은 제거로 인해 수행되었습니다. 이미 활성화된 교체품은 당시 동일한 가격대를 가지고 있었습니다. 수 알려지지 않은 나쁜 행위자가 가격을 조작하고 플랫폼에서 약 6만 달러 상당의 암호화폐를 빼냅니다.
블록체인 보안 연구원에 따르면 할본, 두 토큰의 가격을 담당하는 스마트 컨트랙트가 모두 검증되지 않았기 때문에 공격에 대한 적절한 분석이 어려울 것입니다. 게다가 스마트 컨트랙트 자체는 공격을 받지 않았고 동시에 상장되어서는 안 되는 토큰 자체만 공격을 받았습니다.
“관련 스마트 계약이 검증되지 않아 심층 분석이 어려운 반면, 공격자는 이 공격을 수행하기 위해 스마트 계약 취약성을 악용할 필요가 없었습니다. 공격은 동일한 토큰의 두 가지 경쟁 버전이 시장에 나와 있기 때문에 가능했습니다.”
현장에서 부분 인출
당시 약 1100만 달러에 해당하는 1.79개 이상의 ETH가 악용 후 불과 몇 시간 만에 TornadoCash로 전송되었습니다.
그러나 펙실드와 버신 모두에 따르면 도난당한 나머지 자금은 다시 움직이는 것으로 보인다.
이 기사가 작성될 당시 2415만 달러 이상의 가치가 있는 3.8 ETH가 공격과 관련된 지갑에서 TornadoCash로 전송되었습니다.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85M)에서 토네이도 캐시로 @LendHubDefi 착취자
LendHub는 악용되었고 6월 12일 프로토콜에서 XNUMX만 달러 상당의 암호화폐가 도난당했습니다.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3— PeckShieldAlert(@PeckShieldAlert) 2023년 2월 27일
이로 인해 최대 3515.4 ETH의 TornadoCash로 이동된 총 금액이 현재 5.7만 달러가 넘습니다. 나머지 수십만 개는 여전히 공격자의 지갑에 숨겨져 있으며 곧 암호화 믹서로 보내질 것입니다.
고맙게도 이 이야기에는 희망이 있습니다. 공격 8.8월 한 달 동안 암호화폐 회사에서 공격을 받았고 작년의 Harmony 또는 Ronin 공격과는 거리가 멀다. 90월에는 해킹으로 인해 약 2022만 달러 상당의 암호화폐가 손실되었으며, 이는 XNUMX년 XNUMX월에 비해 도난 가치가 XNUMX% 이상 감소한 것입니다.
개발자가 보안을 더 심각하게 여기기 시작했거나 다른 요인 때문이건 간에 사이버 보안은 끊임없는 전투라는 사실을 인식하는 것이 중요합니다.
출처: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/