Az Orion Protocol – a CeFi és a DeFi tőzsdék likviditási összesítője – csütörtökön feltörték alapszerződését mind az Ethereum, mind a Binance Smart Chains (BSC) telepítésében.
A hacker több mint 1700 ETH-t szerzett, ami az írás idején összesen több mint 3 millió dollárt ért.
Újabb Reentrancy Hack
As magyarázható A PeckShield blokklánc-biztonsági cég a Twitteren a csütörtöki feltörést „a hiányos visszatérési védelem miatt” tette lehetővé. Az újbóli belépési hiba arra utal, amikor a támadó ismételten pénzt vonhat ki egy intelligens szerződésből, költség nélkül.
A PeckShield kifejtette, hogy a swapThroughOrionPool funkció lehetővé teszi, hogy bárki, akinek van kialakított tokenje, eltéríthesse átutalását, hogy újra beléphessen a letéti eszköz funkcióba. Ez lehetővé teszi a felhasználók számára, hogy tényleges pénzköltség nélkül növeljék egyenlegüket.
Ebben az esetben a hacker egy újonnan felépített ATK tokent és egy önmegsemmisítő intelligens szerződést használt az Orion készleteinek manipulálására.
4/ A hack először a BSC-n indul, kezdeti alap 0.4 BNB tól @TornadoCash. Az ETH hack kezdeti alap 0.4 ETH-t von le @SimpleSwap_io. Hack után az 1100 ETH nyereséget letétbe helyezik @TornadoCash és a többi 657 ETH a hacker fiókjában marad: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Február 3, 2023
Alekszej Koloskov, az Orion vezérigazgatója közzétette a szál elmagyarázza a kizsákmányolást röviddel azután, hogy megtörtént.
„Okkal feltételezhetjük, hogy a problémát nem az alapvető protokollkódunk hiányosságai okozták, hanem inkább a harmadik féltől származó könyvtárak keverésének sérülékenysége okozhatta a kísérleti és privát brókereink által használt egyik intelligens szerződésben. ," ő mondta.
Koloskov megjegyezte, hogy a kihasznált szerződés nem volt jelentős a nyilvánosság számára, de főként az egyik kísérleti bróker használta a cégpénztárnál. A felhasználói pénzek 100%-ban biztonságban vannak.
Ennek ellenére az Orion letéti funkcióját bezárták, és nem nyitják meg újra mindaddig, amíg a hibát ki nem javítják és a megfelelő ellenőrzéseket meg nem végzik.
A DeFi Honeypot
A DeFi hackelésein keresztül ellopott pénz idővel nő: 2022-ben 3.8 milliárd dollárt loptak el, ebből 1.7 milliárd dollárt kriptográfia meghozott egyedül észak-koreai hackerek.
A pénz nagy részét az észak-koreai Lazarus Group vitte el, amely az feltételezett hogy júniusban végrehajtotta a 100 millió dolláros Harmony-híd feltörését.
A kriptográfiai hackek legjövedelmezőbb célpontjai a blokklánc hidak voltak – ahol a más blokkláncokon keringő tokenizált változataikat alátámasztó kriptovalutákat tárolják.
Októberben a Binance Smart Chain (BSC) működését leállították az érvényesítők, miután egy hacker a semmiből 2 millió BNB-t (akkor 600 millió dollár értékben) vert ki a blokklánc-híd kihasználásával. A BNB nagy része gyorsan ment elhessegette más láncokhoz a későbbiekben.
Binance ingyenes 100 USD (exkluzív): Használja ezt a linket regisztrálni, és 100 dollár ingyenes és 10% kedvezményt kap a Binance Futures első hónapjában (feltételek).
PrimeXBT különleges ajánlat: Használja ezt a linket regisztrálni és beírni a POTATO50 kódot, hogy akár 7,000 dollárt is kaphasson befizetései után.
Forrás: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/