Orion Protocol – agregator likvidnosti i za CeFi i za DeFi berze – hakovan je u četvrtak u njegovom osnovnom ugovoru za Ethereum i Binance Smart Chains (BSC).
Haker je zaradio preko 1700 ETH, kumulativno vrijedan preko 3 miliona dolara u vrijeme pisanja.
Još jedan hak za ponovni ulazak
As objašnjeno od strane blockchain sigurnosne kompanije PeckShield na Twitteru, hakiranje u četvrtak omogućeno je "zbog nepotpune zaštite od ponovnog ulaska". Greška pri ponovnom ulasku se odnosi na to kada napadač može više puta povući sredstva iz pametnog ugovora bez ikakvih troškova.
PeckShield je razradio da funkcija swapThroughOrionPool omogućava svakome sa izrađenim tokenima da otme njihov prijenos i ponovno uđe u funkciju depozitnog sredstva. Ovo omogućava korisnicima da povećaju svoje stanje bez ikakvih stvarnih troškova sredstava.
U ovom slučaju, haker je koristio novokonstruirani token nazvan ATK, i samouništavajući pametni ugovor, da manipuliše Orionovim skupovima.
4/ Hakiranje počinje prvo na BSC sa početnim fondom 0.4 BNB od @TornadoCash. ETH hak izvlači početni fond od 0.4 ETH @SimpleSwap_io. Nakon hakovanja, dobitak od 1100 ETH se deponuje @TornadoCash i ostalih 657 ETH ostaje na računu hakera: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februar 3, 2023
Aleksej Koloskov, izvršni direktor Oriona, objavio je a navoj objašnjavajući eksploataciju ubrzo nakon što se dogodio.
“Imamo razloga vjerovati da problem nije bio rezultat bilo kakvih nedostataka u našem osnovnom kodu protokola, već je prije mogao biti uzrokovan ranjivosti u miješanju biblioteka trećih strana u jednom od pametnih ugovora koje koriste naši eksperimentalni i privatni brokeri. ," on je rekao.
Koloskov je napomenuo da eksploatisani ugovor nije bio od većeg značaja za javnost, već ga je uglavnom koristio jedan od njegovih eksperimentalnih brokera sa trezorom kompanije. Korisnička sredstva su, kako je rekao, 100% sigurna.
Ipak, Orionova funkcija depozita je zatvorena i neće biti ponovo otvorena sve dok se greška ne zakrpi i ne obavi odgovarajuće revizije.
DeFi Honeypot
Novac ukraden kroz DeFi hakove vremenom raste: 2022. godine ukradeno je 3.8 milijardi dolara, sa 1.7 milijardi dolara u kripto uzeto samo od strane sjevernokorejskih hakera.
Veći dio tog novca uzela je sjevernokorejska Lazarus Group, tj sumnja da je izvršio hakiranje Harmony bridgea od 100 miliona dolara u junu.
Neki od najunosnijih meta za kripto hakove bili su mostovi blokova – gdje se pohranjuju kriptovalute koje podržavaju svoje tokenizirane varijante koje kruže na drugim blockchainima.
U oktobru, Binance Smart Chain (BSC) je pauziran od strane validatora nakon što je haker iskovao 2 miliona BNB-a (vrijednih 600 miliona dolara u to vrijeme) iz zraka eksploatacijom blockchain mosta. Veći dio BNB-a bio je brz odbrusio drugim lancima nakon toga.
Binance besplatno $100 (ekskluzivno): Koristite ovu vezu da se registrujete i dobijete 100 $ besplatno i 10% popusta na Binance Futures prvi mjesec (uslovi).
PrimeXBT posebna ponuda: Koristite ovu vezu da se registrujete i unesete POTATO50 kod da dobijete do $7,000 na svoje depozite.
Izvor: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/