- Hakeris nozaga vairāk nekā 1,700 Ethereum jeb vairāk nekā 3 miljonus dolāru.
- Hakeris šajā gadījumā manipulēja ar Orion pūliem, izveidojot jaunu marķieri ar nosaukumu ATK.
Ceturtdien pamatlīgums gada Orion protokols, CeFi un DeFi biržu likviditātes apkopotājs, tika apdraudēts gan Ethereum, gan Binance Smart Chains (BSC) izvietošanas laikā. Hakeris nozaga vairāk nekā 1,700 Ethereum jeb vairāk nekā 3 miljonus dolāru.
Ceturtdien pārkāpums bija iespējams, jo nebija pietiekamas atkārtotas ieejas aizsardzības, kā aprakstīja blokķēdes drošības uzņēmums PeckShield vietnē Twitter. Ja rodas atkārtotas ienākšanas problēma, uzbrucējs var atkārtoti izņemt naudu no viedā līguma, nemaksājot nekādas maksas.
Saskaņā ar PeckShield, izmantojot swapThroughOrionPool metodi, ikviens, kuram ir īpaši izstrādāti marķieri, var atkārtoti ievadīt depozīta līdzekļu funkciju un nozagt tokenus. Lai šādā veidā palielinātu konta atlikumu, nav nepieciešami nekādi naudas izdevumi.
Depozīta funkcija apturēta
Hakeris šajā gadījumā manipulēja ar Orion pūliem, izveidojot jaunu marķieri ar nosaukumu ATK un pašiznīcinošu viedo līgumu. Orion izpilddirektors Aleksejs Koloskovs drīz pēc ievainojamības atklāšanas publicēja pavedienu, kurā sīki aprakstīta ievainojamība.
Pat ja izmantoto līgumu izmantoja kāds no uzņēmuma eksperimentālajiem brokeriem, Koloskovs uzsvēra, ka tam ir maza sabiedriska nozīme. Viņš apliecināja pūlim, ka viņu nauda ir pilnībā drošībā. Tomēr Orion depozīta funkcija ir izslēgta un netiks atkārtoti atvērta, kamēr problēma nav novērsta un tiks veiktas atbilstošas auditas.
Nozagtā naudas summa DEFI 2022. gadā pārkāpumu skaits ir pieaudzis, tika nozagti 3.8 miljardi dolāru, no kuriem 1.7 miljardi dolāru bija šifrēti un tos izdarījuši Ziemeļkorejas hakeri. Tiek uzskatīts, ka 100 miljonus dolāru vērto Harmony tilta pārrāvumu jūnijā veica Ziemeļkorejas Lazarus grupa, kas nozaga lielu daļu no nozagtajiem līdzekļiem.
Ieteicams jums:
Hakeris izmanto BonqDAO protokolu vairāk nekā 120 miljonu dolāru vērtībā
Avots: https://thenewscrypto.com/orion-protocol-exploited-by-hacker-stealing-away-roughly-3-million/