LendHub被黑简析：系LendHub中存在新旧两市场

据慢雾安全区报道，2023年金融报道 年 1 月 13 日，HECO 生态跨链借贷平台 LendHub 近距离的攻击损失 600 万美金。慢雾安全团队以简讯的形式分享如下： 这次攻击的原因系 LendHub 中存在两个 lBSV cToken，其一已在 2021 年 4 月份被废弃，但没有从市场上移除，导致两个新旧 lBSV 都存在于市场中。且新旧两个 lBSV 所对应的 Comptroller 不一样，但都在市场上有价格，导致新旧市场负债计算分裂。攻击者利用这个问题在旧市场进行抵押赎回，在新市场进行贷款操作，恶意在新市场获得协议资金。 目前，黑客的主要盈利地址是 0x9d01..ab03黑客攻击手续费来源 1 月 12 日从 Tornado.Cash 接收的 100 ETH。到目前为止，黑客已经分了 11 笔共转 1,100 ETH 到 Tornado.Cash。慢雾安全团队将通过威胁情报网络不断跟进和分析黑客的部分痕迹。