Lendhub Exploiter 将收益转移到 TornadoCash

Lendhub 是一个在 HECO 上运行的相对较小的跨链加密借贷平台，今年 6 月初被利用价值 XNUMX 万美元。

仅由于编码不当而可能发生攻击

此次攻击是由于对已弃用的 IBSV cToken 的删除执行不当而导致的。 它的替代品已经投入使用，当时价格相同， 允许 不知名的不良行为者操纵定价并从平台中流失价值约 6 万美元的加密货币。

根据区块链安全研究员 哈尔伯恩，由于负责两种代币价格的智能合约都未经验证，因此很难对攻击进行适当的分析。 此外，智能合约本身并没有受到攻击，只有令牌本身，不应该同时上市。

“虽然相关智能合约未经验证——这使得深入分析变得困难——但攻击者并不需要利用智能合约漏洞来进行这次攻击。 攻击之所以有可能，是因为市场上存在同一令牌的两个竞争版本。”

当场部分提款

漏洞利用仅几个小时后，就有超过 1100 个 ETH（当时价值约 1.79 万美元）被发送到 TornadoCash。

然而，根据 Peckshield 和 Beosin 的说法，其余被盗资金似乎又在转移。
2415 ETH，在撰写本文时价值超过 3.8 万美元，已从与攻击相关的钱包发送到 TornadoCash。

#PeckShieldAlert 〜2,415.4 $ ETH (~3.85M) 从 @LendHubDefi 剥削者
LendHub 被利用，价值 6 万美元的加密货币于 12 月 XNUMX 日从其协议中被盗。https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3

- PeckShieldAlert（@PeckShieldAlert） 2023 年 2 月 27 日

这使得转移到 TornadoCash 的总金额高达 3515.4 ETH，目前价值超过 5.7 万美元。 其余的数十万仍藏在攻击者的钱包中，可能很快就会被发送到加密混合器。

值得庆幸的是，这个故事有一线希望——这是最大的 攻击 8.8 月份对一家加密货币公司的攻击与去年的 Harmony 或 Ronin 攻击相去甚远。 总体而言，90 月份价值约 2022 万美元的加密货币因黑客攻击而丢失，与 XNUMX 年 XNUMX 月相比，被盗价值减少了 XNUMX% 以上。

无论这是因为开发人员开始更加重视安全还是其他因素，重要的是要意识到网络安全是一场持久战——如果开发人员想要保持积极的记录，他们最好保持警惕。