Orion Protocol – agregátor likvidity pro burzy CeFi a DeFi – zaznamenal ve čtvrtek hacknutí své hlavní smlouvy v rámci nasazení Ethereum a Binance Smart Chains (BSC).
Hacker získal více než 1700 ETH, což má v době psaní kumulativní hodnotu přes 3 miliony dolarů.
Další Reentrancy Hack
As vysvětlil od blockchainové bezpečnostní společnosti PeckShield na Twitteru byl čtvrteční hack umožněn „kvůli neúplné ochraně proti opětovnému vstupu“. Chyba opětovného vstupu se týká situace, kdy útočník může opakovaně bezplatně vybírat prostředky z chytré smlouvy.
PeckShield upřesnil, že funkce swapThroughOrionPool umožňuje komukoli s vytvořenými tokeny unést jejich převod a znovu vstoupit do funkce vkladových aktiv. To umožňuje uživatelům zvýšit svůj zůstatek bez jakýchkoli skutečných nákladů na finanční prostředky.
V tomto případě hacker použil nově vytvořený token nazvaný ATK a sebezničující inteligentní kontrakt k manipulaci s Orionovými fondy.
4/ Hack je zahájen jako první na BSC s počátečním fondem 0.4 BNB od @TornadoCash. ETH hack čerpá počáteční fond 0.4 ETH @SimpleSwap_io. Po hacku se vloží zisk 1100 ETH @TornadoCash a dalších 657 ETH zůstává na hackerově účtu: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Února 3, 2023
Alexey Koloskov, generální ředitel společnosti Orion, zveřejnil a závit vysvětlující exploit krátce poté, co k němu došlo.
„Máme důvody se domnívat, že problém nebyl důsledkem žádných nedostatků v našem základním kódu protokolu, ale spíše mohl být způsoben zranitelností při míchání knihoven třetích stran v jedné z chytrých smluv používaných našimi experimentálními a soukromými makléři. ," řekl.
Koloskov poznamenal, že využitý kontrakt neměl pro veřejnost velký význam, ale využíval ho hlavně jeden z jeho experimentálních makléřů s firemní pokladnou. Uživatelské prostředky jsou podle něj 100% bezpečné.
Nicméně funkce vkladu Orionu byla uzavřena a nebude znovu otevřena, dokud nebude chyba opravena a neproběhnou řádné audity.
Honeypot DeFi
Peníze ukradené prostřednictvím DeFi hacků postupem času rostou: V roce 2022 bylo ukradeno 3.8 miliardy dolarů, z toho 1.7 miliardy v kryptoměnách zaujatý pouze severokorejskými hackery.
Velkou část těchto peněz vzala severokorejská skupina Lazarus, což je podezření, že v červnu provedl hack Harmony bridge za 100 milionů dolarů.
Některé z nejlukrativnějších cílů pro krypto hacky byly blockchainové mosty – kde jsou uloženy kryptoměny, které podporují jejich tokenizované varianty kolující na jiných blockchainech.
V říjnu byl Binance Smart Chain (BSC) pozastaven validátory poté, co hacker z ničeho nic vytěžil 2 miliony BNB (v té době v hodnotě 600 milionů dolarů) využitím blockchainového mostu. Velká část BNB byla rychlá odletěl pryč do dalších řetězců v důsledku.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/