- Mer enn 1,700 Ethereum, eller mer enn 3 millioner dollar, ble stjålet av hackeren.
- Hackeren i dette tilfellet manipulerte Orions bassenger ved å lage et nytt token kalt ATK.
Torsdag ble den grunnleggende kontrakten av Orion-protokoll, en likviditetsaggregator for CeFi- og DeFi-børser, ble kompromittert i både Ethereum- og Binance Smart Chains (BSC)-distribusjoner. Mer enn 1,700 Ethereum, eller mer enn 3 millioner dollar, ble stjålet av hackeren.
På torsdag var bruddet mulig på grunn av utilstrekkelig reentrancy-beskyttelse, som beskrevet av blockchain-sikkerhetsfirmaet PeckShield på Twitter. Med et reentrancy-problem kan en angriper gjentatte ganger ta penger ut av en smart kontrakt uten å betale noen avgifter.
I følge PeckShield lar bruk av swapThroughOrionPool-metoden alle med spesialdesignede tokens gå inn i innskuddsaktivafunksjonen igjen og stjele tokens. Det kreves ingen pengeutgifter for å øke kontosaldoen på denne måten.
Innskuddsfunksjon satt på pause
Hackeren i dette tilfellet manipulerte Orions bassenger ved å lage et nytt token kalt ATK og en selvdestruerende smart kontrakt. administrerende direktør i Orion Alexey Koloskov la ut en tråd som beskriver sårbarheten like etter at den ble oppdaget.
Selv om den utnyttede kontrakten ble utnyttet av en av selskapets eksperimentelle meglere, understreket Koloskov at den var av liten offentlig betydning. Han forsikret publikum om at pengene deres var helt sikre. Imidlertid har Orions innskuddsfunksjon blitt stengt og vil ikke åpne igjen før problemet er løst og passende revisjoner er utført.
Mengden penger stjålet av Defi brudd har vært økende i 2022, 3.8 milliarder dollar ble stjålet, hvorav 1.7 milliarder dollar var i krypto og begått av nordkoreanske hackere. Innbruddet på 100 millioner dollar i Harmony-broen i juni antas å ha blitt utført av den nordkoreanske Lazarus Group, som stjal en stor del av de stjålne midlene.
Anbefalt for deg:
Hacker utnytter BonqDAO-protokollen på over 120 millioner dollar
Kilde: https://thenewscrypto.com/orion-protocol-exploited-by-hacker-stealing-away-roughly-3-million/