Orion Protocol – agregator likvidnosti za CeFi i DeFi razmjenu – doživio je hakiranje svog temeljnog ugovora u četvrtak na obje Ethereum i Binance Smart Chains (BSC) implementaciji.
Haker je zaradio preko 1700 ETH, kumulativno vrijednih preko 3 milijuna dolara u vrijeme pisanja.
Još jedan reentrancy hack
As objašnjen od strane blockchain sigurnosne tvrtke PeckShield na Twitteru, hakiranje od četvrtka omogućeno je "zbog nepotpune zaštite od ponovnog ulaska." Pogreška ponovnog ulaska odnosi se na slučajeve kada napadač može opetovano povlačiti sredstva iz pametnog ugovora bez ikakvih troškova.
PeckShield je pojasnio da funkcija swapThroughOrionPool omogućuje bilo kome s izrađenim tokenima da preotmu njihov prijenos u ponovni ulazak u funkciju depozitne imovine. To korisnicima omogućuje povećanje stanja bez stvarnih troškova sredstava.
U ovom slučaju, haker je upotrijebio novokonstruirani token nazvan ATK i samouništavajući pametni ugovor kako bi manipulirao Orionovim bazenima.
4/ Hakiranje je prvo započeto na BSC-u s početnim fondom od 0.4 BNB @TornadoCash. ETH hack izvlači početni fond od 0.4 ETH @SimpleSwap_io. Nakon hakiranja, dobitak od 1100 ETH se deponira u @TornadoCash a ostalih 657 ETH ostaje na hakerskom računu: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Veljače 3, 2023
Alexey Koloskov, izvršni direktor Oriona, objavio je a nit objašnjavajući iskorištavanje ubrzo nakon što se dogodilo.
"Imamo razloga vjerovati da problem nije rezultat bilo kakvih nedostataka u našem osnovnom kodu protokola, već je možda uzrokovan ranjivošću u miješanju knjižnica trećih strana u jednom od pametnih ugovora koje koriste naši eksperimentalni i privatni brokeri ," On je rekao.
Koloskov je primijetio da eksploatirani ugovor nije bio od velike važnosti za javnost, već ga je uglavnom koristio jedan od njegovih eksperimentalnih brokera s riznicom tvrtke. Sredstva korisnika, rekao je, 100% su sigurna.
Unatoč tome, Orionova funkcija depozita je zatvorena i neće se ponovno otvoriti sve dok se greška ne zakrpi i dok se ne izvrše odgovarajuće revizije.
DeFi Honeypot
Novac ukraden putem DeFi hakiranja s vremenom raste: 2022. ukradeno je 3.8 milijardi dolara, od čega 1.7 milijardi dolara u kriptovaluti poduzete samo od strane sjevernokorejskih hakera.
Velik dio tog novca uzeo je sjevernokorejski Lazarus Group, koji je osumnjičen da je izvršio hakiranje Harmony bridgea vrijedno 100 milijuna dolara u lipnju.
Neki od najunosnijih ciljeva za kripto hakiranje bili su blockchain mostovi – gdje su pohranjene kriptovalute koje podržavaju njihove tokenizirane varijante koje kruže drugim blockchainovima.
Validatori su u listopadu pauzirali Binance Smart Chain (BSC) nakon što je haker iskovao 2 milijuna BNB-a (u to vrijeme vrijedan 600 milijuna dolara) iz ničega iskorištavajući blockchain most. Velik dio BNB-a bio je brz odjurio drugim lancima u nastavku.
Binance besplatno 100 USD (isključivo): Koristite ovu vezu za registraciju i primanje 100 USD besplatno i 10% popusta na Binance Futures prvi mjesec (uvjeti).
Posebna ponuda PrimeXBT: Koristite ovu vezu da se registrirate i unesete POTATO50 kod kako biste primili do 7,000 USD na svoje depozite.
Izvor: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/