Orion Protocol – en likviditetsaggregator for både CeFi- og DeFi-børser – så sin kjernekontrakt hacket på torsdag på tvers av både Ethereum og Binance Smart Chains (BSC)-distribusjoner.
Hackeren oppnådde over 1700 ETH, kumulativt verdt over 3 millioner dollar på skrivetidspunktet.
Nok et Reentrancy Hack
As forklarte av blockchain-sikkerhetsselskapet PeckShield på Twitter, ble torsdagens hack muliggjort "på grunn av ufullstendig beskyttelse mot gjeninntreden." En reentrancy bug refererer til når en angriper kan ta ut penger gjentatte ganger fra en smart kontrakt uten kostnad.
PeckShield utdypet at swapThroughOrionPool-funksjonen lar alle med utformede tokens kapre overføringen for å gå inn i funksjonen for innskuddsaktiva på nytt. Dette lar brukere øke saldoen sin uten noen faktiske pengekostnader.
I dette tilfellet brukte hackeren et nykonstruert token kalt ATK, og en selvdestruerende smart kontrakt, for å manipulere Orions bassenger.
4/ Hacket startes først på BSC m/ startfond 0.4 BNB fra @TornadoCash. ETH-hacket trekker startfondet 0.4 ETH fra @SimpleSwap_io. Etter hack settes gevinsten på 1100 ETH inn på @TornadoCash og andre 657 ETH forblir på hackerens konto: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februar 3, 2023
Alexey Koloskov, administrerende direktør i Orion, publiserte en tråden forklarer utnyttelsen kort tid etter at den skjedde.
"Vi har grunner til å tro at problemet ikke var et resultat av noen mangler i vår kjerneprotokollkode, men snarere kan ha vært forårsaket av en sårbarhet i å blande tredjepartsbiblioteker i en av de smarte kontraktene som brukes av våre eksperimentelle og private meglere ," han sa.
Koloskov bemerket at den utnyttede kontrakten ikke var av stor betydning for publikum, men hovedsakelig ble brukt av en av dens eksperimentelle meglere med selskapets finans. Brukermidler, sa han, er 100 % trygge.
Likevel har Orions innskuddsfunksjon blitt stengt, og vil ikke bli gjenåpnet før feilen er rettet og ordentlige revisjoner har funnet sted.
DeFi Honeypot
Penger stjålet gjennom DeFi-hack vokser over tid: I 2022 ble 3.8 milliarder dollar stjålet, med 1.7 milliarder dollar i krypto. tatt av nordkoreanske hackere alene.
Mye av pengene ble tatt av den nordkoreanske Lazarus Group, som er mistenkt å ha utført Harmony bridge-hakket på 100 millioner dollar i juni.
Noen av de mest lukrative målene for kryptohack har vært blokkjedebroer – hvor kryptovalutaer som støtter deres tokeniserte varianter som sirkulerer på andre blokkkjeder, lagres.
I oktober ble Binance Smart Chain (BSC) satt på pause av validatorer etter at en hacker slo 2 millioner BNB (verdt $600 millioner på den tiden) ut av løse luften ved å utnytte blockchain-broen. Mye av BNB var raskt vistet bort til andre kjeder i etterkant.
Binance gratis $100 (eksklusivt): Bruk denne lenken for å registrere deg og motta $100 gratis og 10 % rabatt på Binance Futures første måned (vilkår).
PrimeXBT Spesialtilbud: Bruk denne lenken for å registrere deg og angi POTATO50-koden for å motta opptil $7,000 XNUMX på innskuddene dine.
Kilde: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/