Orion Protocol – un agregator de lichidități atât pentru bursele CeFi, cât și pentru DeFi – și-a fost piratat joi contractul de bază în ambele implementări Ethereum și Binance Smart Chains (BSC).
Hackerul a obținut peste 1700 de ETH, în valoare cumulativă de peste 3 milioane de dolari la momentul scrierii.
Un alt hack de reintrare
As a explicat de către compania de securitate blockchain PeckShield pe Twitter, hack-ul de joi a fost posibil „din cauza protecției incomplete la reintrare”. O eroare de reintrare se referă la momentul în care un atacator poate retrage fonduri în mod repetat dintr-un contract inteligent fără costuri.
PeckShield a explicat că funcția swapThroughOrionPool permite oricui cu jetoane create să deturneze transferul pentru a reintra în funcția de depozit. Acest lucru le permite utilizatorilor să-și mărească soldul fără niciun cost real al fondurilor.
În acest caz, hackerul a folosit un token nou construit numit ATK și un contract inteligent care se autodistruge, pentru a manipula pool-urile lui Orion.
4/ Hackul este început mai întâi pe BSC cu fondul inițial de 0.4 BNB de la @TornadoCash. The ETH hack draws initial fund 0.4 ETH from @SimpleSwap_io. După hack, câștigul de 1100 ETH este depus în @TornadoCash and other 657 ETH stays in the hacker’s account: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) 3 Februarie 2023
Alexey Koloskov, CEO al Orion, a publicat a fir explicând exploatarea la scurt timp după ce a avut loc.
„Avem motive să credem că problema nu a fost rezultatul unor deficiențe în codul protocolului nostru de bază, ci mai degrabă ar fi fost cauzată de o vulnerabilitate în amestecarea bibliotecilor terțe într-unul dintre contractele inteligente utilizate de brokerii noștri experimentali și privați. ," el a spus.
Koloskov a remarcat că contractul exploatat nu a fost de importanță majoră pentru public, ci a fost folosit în principal de unul dintre brokerii săi experimentali cu trezoreria companiei. Fondurile utilizatorilor, a spus el, sunt 100% sigure.
Cu toate acestea, funcția de depozit a lui Orion a fost închisă și nu va fi redeschisă până când eroarea este corectată și nu au avut loc audituri adecvate.
DeFi Honeypot
Banii furați prin hack-uri DeFi cresc în timp: în 2022, au fost furați 3.8 miliarde de dolari, cu 1.7 miliarde de dolari în cripto. luate numai de hackeri nord-coreeni.
O mare parte din acești bani au fost luați de către grupul nord-coreean Lazarus, adică suspectate să fi executat hack-ul Harmony de 100 de milioane de dolari în iunie.
Unele dintre cele mai profitabile ținte pentru hack-urile criptografice au fost podurile blockchain – unde sunt stocate criptomonedele care susțin variantele lor tokenizate care circulă pe alte blockchain-uri.
În octombrie, Binance Smart Chain (BSC) a fost întrerupt de validatori după ce un hacker a bătut 2 milioane de BNB (în valoare de 600 de milioane de dolari la acea vreme) din aer prin exploatarea podului blockchain. O mare parte din BNB a fost rapid luat pe sus la alte lanțuri ulterior.
Binance gratuit 100 USD (exclusiv): Utilizați acest link pentru a vă înregistra și a primi 100 USD gratuit și 10% reducere la taxe la Binance Futures prima lună (termeni).
Ofertă specială PrimeXBT: Utilizați acest link pentru a vă înregistra și introduce codul POTATO50 pentru a primi până la 7,000 USD din depozitele dvs.
Source: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/