Protokół Orion – agregator płynności zarówno dla giełd CeFi, jak i DeFi – w czwartek zhakował swoją podstawową umowę zarówno we wdrożeniach Ethereum, jak i Binance Smart Chains (BSC).
Haker zarobił ponad 1700 ETH, łącznie wartych ponad 3 miliony dolarów w czasie pisania.
Kolejny hack na ponowne wejście
As wyjaśnione przez firmę PeckShield zajmującą się bezpieczeństwem blockchain na Twitterze, czwartkowe włamanie było możliwe „z powodu niepełnej ochrony ponownego wejścia”. Błąd ponownego wejścia odnosi się do sytuacji, w której osoba atakująca może wielokrotnie wypłacać środki z inteligentnej umowy bez żadnych kosztów.
PeckShield wyjaśnił, że funkcja swapThroughOrionPool umożliwia każdemu, kto ma spreparowane tokeny, przejęcie ich transferu w celu ponownego wejścia do funkcji aktywów depozytowych. Pozwala to użytkownikom zwiększyć saldo bez żadnych rzeczywistych kosztów środków.
W tym przypadku haker użył nowo skonstruowanego tokena o nazwie ATK i samozniszczającego się inteligentnego kontraktu, aby manipulować pulami Oriona.
4/ Hack rozpoczyna się najpierw na BSC z funduszem początkowym 0.4 BNB od @TornadoCash. Hack ETH pobiera fundusz początkowy w wysokości 0.4 ETH @SimpleSwap_io. Po włamaniu zysk w wysokości 1100 ETH jest zdeponowany w @TornadoCash i inne 657 ETH pozostaje na koncie hakera: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) 3 lutego 2023 r.
Alexey Koloskov, dyrektor generalny firmy Orion, opublikował a wątek wyjaśniając exploit wkrótce po jego wystąpieniu.
„Mamy powody, by sądzić, że problem nie był wynikiem jakichkolwiek niedociągnięć w kodzie naszego podstawowego protokołu, ale raczej mógł być spowodowany luką w mieszaniu bibliotek stron trzecich w jednym z inteligentnych kontraktów używanych przez naszych eksperymentalnych i prywatnych brokerów ," powiedział.
Koloskov zauważył, że wykorzystany kontrakt nie miał większego znaczenia dla opinii publicznej, ale był używany głównie przez jednego z jego eksperymentalnych brokerów ze skarbcem firmy. Fundusze użytkownika, powiedział, są w 100% bezpieczne.
Niemniej jednak funkcja depozytu Oriona została zamknięta i nie zostanie ponownie otwarta, dopóki błąd nie zostanie naprawiony i nie zostaną przeprowadzone odpowiednie audyty.
Honeypot DeFi
Pieniądze skradzione za pomocą hacków DeFi rosną z czasem: w 2022 r. skradziono 3.8 miliarda dolarów, z czego 1.7 miliarda dolarów w kryptowalutach Zadania wyłącznie przez północnokoreańskich hakerów.
Znaczna część tych pieniędzy została przejęta przez północnokoreańską grupę Lazarus podejrzany dokonał w czerwcu włamania do mostu Harmony za 100 milionów dolarów.
Jednymi z najbardziej lukratywnych celów hakerów kryptograficznych były mosty blockchain – gdzie przechowywane są kryptowaluty wspierające ich tokenizowane warianty krążące na innych blockchainach.
W październiku Binance Smart Chain (BSC) został wstrzymany przez walidatorów po tym, jak haker wybił 2 miliony BNB (o wartości 600 milionów dolarów w tamtym czasie) znikąd, wykorzystując most blokowy. Wiele z BNB było szybko wymknął się do innych łańcuchów w następstwie.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/