Orion Protocol – en likviditetsaggregator for både CeFi- og DeFi-børser – så sin kernekontrakt hacket torsdag på tværs af både Ethereum og Binance Smart Chains (BSC) implementeringer.
Hackeren opnåede over 1700 ETH, kumulativt værd over $3 millioner på skrivetidspunktet.
Endnu et Reentrancy Hack
As forklarede af blockchain-sikkerhedsfirmaet PeckShield på Twitter, blev torsdagens hack muliggjort "på grund af ufuldstændig beskyttelse mod tilbagevenden." En reentrancy-fejl refererer til, når en angriber kan hæve penge gentagne gange fra en smart kontrakt uden omkostninger.
PeckShield uddybede, at swapThroughOrionPool-funktionen lader alle med udformede tokens kapere deres overførsel og genindtræde i indbetalingsaktivfunktionen. Dette giver brugerne mulighed for at øge deres saldo uden faktiske omkostninger til midler.
I dette tilfælde brugte hackeren et nykonstrueret token kaldet ATK og en selvdestruerende smart kontrakt til at manipulere Orions puljer.
4/ Hacket startes først på BSC m/ initial fond 0.4 BNB fra @TornadoCash. ETH-hacket trækker indledende fond 0.4 ETH fra @SimpleSwap_io. Efter hack indsættes gevinsten på 1100 ETH i @TornadoCash og andre 657 ETH forbliver på hackerens konto: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februar 3, 2023
Alexey Koloskov, administrerende direktør for Orion, udgav en tråd forklarer udnyttelsen kort efter, at den fandt sted.
"Vi har grunde til at tro, at problemet ikke var et resultat af nogen mangler i vores kerneprotokolkode, men snarere kunne være forårsaget af en sårbarhed i at blande tredjepartsbiblioteker i en af de smarte kontrakter, der bruges af vores eksperimentelle og private mæglere ," han sagde.
Koloskov bemærkede, at den udnyttede kontrakt ikke var af større betydning for offentligheden, men hovedsagelig blev brugt af en af dens eksperimentelle mæglere med selskabets statskasse. Brugermidler, sagde han, er 100 % sikre.
Ikke desto mindre er Orions indbetalingsfunktion blevet lukket, og vil ikke blive genåbnet, før fejlen er rettet, og korrekte revisioner har fundet sted.
DeFi Honeypot
Penge stjålet gennem DeFi-hacks vokser over tid: I 2022 blev der stjålet 3.8 milliarder dollars med 1.7 milliarder dollars i krypto. taget af nordkoreanske hackere alene.
En stor del af disse penge blev taget af den nordkoreanske Lazarus Group, som er mistænkt at have udført $100 millioner Harmony bridge hacket i juni.
Nogle af de mest lukrative mål for kryptohack har været blockchain-broer - hvor kryptovalutaer, der understøtter deres tokeniserede varianter, der cirkulerer på andre blockchains, er gemt.
I oktober blev Binance Smart Chain (BSC) sat på pause af validatorer, efter at en hacker slog 2 millioner BNB (værdi $600 millioner på det tidspunkt) ud af den blå luft ved at udnytte blockchain-broen. Meget af BNB var hurtigt pisket væk til andre kæder i kølvandet.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/