Manteisiwyd ar Lendhub, platfform benthyca crypto traws-gadwyn cymharol fach sy'n gweithredu ar HECO, hyd at $6 miliwn o ddoleri yn gynharach ym mis Ionawr.
Ymosod yn Bosibl Yn Unig Oherwydd Codio Gwael
Cynhaliwyd yr ymosodiad oherwydd bod cToken IBSV wedi'i ddirymu wedi'i dynnu'n wael. Roedd gan ei ddisodli, a oedd eisoes yn weithredol, bwynt pris union yr un fath ar y pryd, a oedd caniateir yr actor drwg anhysbys i drin y prisiau a draenio gwerth tua $6 miliwn o crypto o'r platfform.
Yn ôl ymchwilydd diogelwch blockchain Halborn, bydd yn anodd cynnal dadansoddiad cywir o'r ymosodiad gan fod y contractau smart sy'n gyfrifol am bris y ddau tocyn heb eu gwirio. Ar ben hynny, ni ymosodwyd ar y contractau smart eu hunain, dim ond y tocynnau eu hunain, na ddylai fod wedi'u rhestru ar yr un pryd.
“Er bod y contractau craff perthnasol heb eu gwirio - gan wneud dadansoddiad manwl yn anodd - nid oedd angen i'r ymosodwr fanteisio ar wendidau contract smart i gyflawni'r ymosodiad hwn. Dim ond oherwydd bod dwy fersiwn gystadleuol o’r un tocyn ar gael ar y farchnad yr oedd yr ymosodiad.”
Tynnu'n ôl yn Rhannol yn y Fan a'r lle
Anfonwyd ychydig dros 1100 ETH, gwerth tua $1.79 miliwn ar y pryd, i TornadoCash dim ond oriau ar ôl y camfanteisio.
Fodd bynnag, mae'n ymddangos bod gweddill yr arian sydd wedi'i ddwyn yn symud eto, yn ôl Peckshield a Beosin.
Mae 2415 ETH, gwerth dros $3.8 miliwn ar adeg ysgrifennu'r erthygl hon, wedi'i anfon o waled sy'n gysylltiedig â'r ymosodiad i TornadoCash.
#PeckShieldAlert ~ 2,415.4 $ ETH (~3.85M) i mewn i Arian Tornado o @LendHubDefi ecsbloetwyr
Cafodd LendHub ei ecsbloetio, a chafodd gwerth $6M o cryptos ei ddwyn o'i brotocol ar Ionawr 12.https://t.co/vDxHlTgR0o pic.twitter.com/8FZY3v2Fe3- PeckShieldAlert (@PeckShieldAlert) Chwefror 27, 2023
Daw hyn â'r cyfanswm a symudwyd i TornadoCash hyd at 3515.4 ETH, sy'n werth dros $ 5.7 miliwn ar hyn o bryd. Mae'r cannoedd o filoedd sy'n weddill yn dal i gael eu stashed i ffwrdd yn waled yr ymosodwr ac mae'n debyg y byddant yn cael eu hanfon at gymysgydd crypto yn fuan.
Diolch byth, mae arian i'r stori hon - hon oedd y fwyaf ymosod ar ar gwmni crypto yn ystod mis Ionawr ac mae'n bell o ymosodiadau Harmony neu Ronin y llynedd. Yn gyfan gwbl, ym mis Ionawr collwyd gwerth tua $8.8 miliwn o crypto i haciau, gostyngiad o dros 90% mewn gwerth wedi'i ddwyn o'i gymharu â Ionawr 2022.
P'un a yw hyn oherwydd bod devs yn dechrau cymryd diogelwch yn fwy difrifol neu ffactorau eraill, mae'n bwysig parhau i fod yn ymwybodol bod seiberddiogelwch yn frwydr gyson - ac os yw devs eisiau cadw hanes cadarnhaol, nhw sydd orau i aros yn effro.
Binance Am Ddim $ 100 (Unigryw): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (termau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/lendhub-exploiter-moves-proceeds-to-tornadocash/