Orion Protocol – agregátor likvidity pre burzy CeFi a DeFi – zaznamenal vo štvrtok hacknutie svojej hlavnej zmluvy v rámci nasadenia Ethereum a Binance Smart Chains (BSC).
Hacker získal viac ako 1700 ETH, čo má v čase písania kumulatívnu hodnotu viac ako 3 milióny dolárov.
Ďalší Reentrancy Hack
As vysvetlil od blockchainovej bezpečnostnej spoločnosti PeckShield na Twitteri bol štvrtkový hack umožnený „kvôli neúplnej ochrane proti opätovnému vstupu“. Chyba opätovného vstupu sa týka situácie, kedy môže útočník bezplatne vyberať prostriedky z inteligentnej zmluvy opakovane.
PeckShield vysvetlil, že funkcia swapThroughOrionPool umožňuje komukoľvek s vytvorenými tokenmi uniesť ich prevod a opätovne vstúpiť do funkcie vkladových aktív. To umožňuje používateľom zvýšiť svoj zostatok bez skutočných nákladov na finančné prostriedky.
V tomto prípade hacker použil novovytvorený token s názvom ATK a samodeštrukčnú inteligentnú zmluvu na manipuláciu s fondmi Orionu.
4/ Hack sa začne najskôr na BSC s počiatočným fondom 0.4 BNB od @TornadoCash. ETH hack čerpá počiatočný fond 0.4 ETH z @SimpleSwap_io. Po hacknutí sa vloží zisk 1100 ETH @TornadoCash a ďalších 657 ETH zostáva na hackerovom účte: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februára 3, 2023
Alexey Koloskov, generálny riaditeľ spoločnosti Orion, zverejnil a závit vysvetlenie zneužitia krátko po tom, ako k nemu došlo.
„Máme dôvody domnievať sa, že problém nebol výsledkom žiadnych nedostatkov v kóde nášho základného protokolu, ale skôr mohol byť spôsobený zraniteľnosťou pri miešaní knižníc tretích strán v jednej z inteligentných zmlúv používaných našimi experimentálnymi a súkromnými maklérmi. ," povedal.
Koloskov poznamenal, že využitý kontrakt nemal veľký význam pre verejnosť, ale využíval ho najmä jeden z jeho experimentálnych maklérov s pokladňou spoločnosti. Finančné prostriedky používateľov sú podľa neho 100% bezpečné.
Napriek tomu bola funkcia vkladu v Orione zatvorená a nebude znovu otvorená, kým nebude opravená chyba a neprebehnú riadne audity.
Honeypot DeFi
Peniaze ukradnuté cez DeFi hacky časom rastú: V roku 2022 bolo ukradnutých 3.8 miliardy dolárov, pričom 1.7 miliardy dolárov bolo v kryptomenách zaujatý samotnými severokórejskými hackermi.
Veľkú časť týchto peňazí zobrala Severokórejská skupina Lazarus, čo je podozrenie, v júni vykonal hacknutie mosta Harmony za 100 miliónov dolárov.
Niektoré z najlukratívnejších cieľov pre krypto hacky boli blockchainové mosty – kde sú uložené kryptomeny podporujúce ich tokenizované varianty cirkulujúce na iných blockchainoch.
V októbri bol Binance Smart Chain (BSC) pozastavený validátormi po tom, čo hacker vyťažil 2 milióny BNB (v tom čase v hodnote 600 miliónov dolárov) zo vzduchu využitím blockchainového mosta. Veľká časť BNB bola rýchla odtiahol preč do ďalších reťazcov v dôsledku.
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/