Orion Protocol – агрегатор на ликвидност както за CeFi, така и за DeFi борси – видя своя основен договор хакнат в четвъртък както в неговите внедрявания на Ethereum, така и в Binance Smart Chains (BSC).
Хакерът спечели над 1700 ETH, на обща стойност над $3 милиона към момента на писане.
Друг хак за повторно влизане
As обясни от компанията за сигурност на блокчейн PeckShield в Twitter, хакът от четвъртък стана възможен „поради непълна защита при повторно влизане“. Грешка при повторно влизане се отнася до това, когато нападателят може да тегли средства многократно от интелигентен договор без разходи.
PeckShield уточни, че функцията swapThroughOrionPool позволява на всеки с изработени токени да отвлече техния трансфер за повторно влизане във функцията за депозитни активи. Това позволява на потребителите да увеличат баланса си без реални разходи за средства.
В този случай хакерът е използвал новоконструиран токен, наречен ATK, и самоунищожаващ се интелигентен договор, за да манипулира пуловете на Orion.
4/ Хакът се стартира първо на BSC с първоначален фонд 0.4 BNB от @TornadoCash. Хакването на ETH тегли първоначален фонд от 0.4 ETH от @SimpleSwap_io. След хак печалбата от 1100 ETH се депозира в @TornadoCash и други 657 ETH остават в акаунта на хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Февруари 3, 2023
Алексей Колосков, главен изпълнителен директор на Orion, публикува a конец обяснявайки експлойта малко след възникването му.
„Имаме причини да вярваме, че проблемът не е резултат от някакви недостатъци в нашия основен протоколен код, а по-скоро може да е причинен от уязвимост при смесването на библиотеки на трети страни в един от интелигентните договори, използвани от нашите експериментални и частни брокери ," той каза.
Колосков отбеляза, че експлоатираният договор не е бил от голямо значение за обществеността, а е бил използван главно от един от неговите експериментални брокери с хазната на компанията. Потребителските средства, каза той, са 100% безопасни.
Независимо от това функцията за депозит на Orion е затворена и няма да бъде отворена отново, докато грешката не бъде коригирана и не бъдат извършени подходящи одити.
DeFi Honeypot
Парите, откраднати чрез хакове на DeFi, нарастват с течение на времето: През 2022 г. са откраднати 3.8 милиарда долара, като 1.7 милиарда долара са крипто предприети само от севернокорейски хакери.
Голяма част от тези пари са взети от севернокорейската Lazarus Group, която е съмнение да извърши хакването на Harmony bridge на стойност 100 милиона долара през юни.
Някои от най-доходоносните цели за крипто хакове са блокчейн мостове – където се съхраняват криптовалути, подкрепящи техните токенизирани варианти, циркулиращи в други блокчейни.
През октомври Binance Smart Chain (BSC) беше спрян от валидатори, след като хакер изсече 2 милиона BNB (на стойност 600 милиона долара по това време) от нищото, като използва блокчейн моста. Голяма част от БНБ беше бързо отнесени към други вериги в последствие.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/