Orion Protocol – likviditātes apkopotājs gan CeFi, gan DeFi biržām – ceturtdien tika uzlauzts tā pamatlīgums gan Ethereum, gan Binance Smart Chains (BSC) izvietošanā.
Hakeris savāca vairāk nekā 1700 ETH, kas kopā rakstīšanas laikā pārsniedz 3 miljonus USD.
Vēl viens Reentrance Hack
As Paskaidroja blokķēdes drošības uzņēmums PeckShield vietnē Twitter, ceturtdienas uzlaušana bija iespējama "nepilnīgas atkārtotas ieejas aizsardzības dēļ". Atkārtotas piekļuves kļūda attiecas uz gadījumiem, kad uzbrucējs var atkārtoti bez maksas izņemt līdzekļus no viedā līguma.
PeckShield precizēja, ka funkcija swapThroughOrionPool ļauj ikvienam, kam ir izstrādāti marķieri, nolaupīt to pārskaitījumu, lai atkārtoti ievadītu depozīta līdzekļu funkciju. Tas ļauj lietotājiem palielināt savu atlikumu bez faktiskām līdzekļu izmaksām.
Šajā gadījumā hakeris izmantoja jaunizveidotu marķieri, ko sauc par ATK, un pašiznīcinošu viedo līgumu, lai manipulētu ar Orion pūliem.
4/ Uzlaušana tiek sākta vispirms BSC ar sākotnējo fondu 0.4 BNB no @TornadoCash. ETH hack piesaista sākotnējo fondu 0.4 ETH no @SimpleSwap_io. Pēc uzlaušanas tiek iemaksāts 1100 ETH pieaugums @TornadoCash un citi 657 ETH paliek hakera kontā: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februāris 3, 2023
Aleksejs Koloskovs, Orion izpilddirektors, publicēja a vītne paskaidrojot ekspluatāciju neilgi pēc tā notikuma.
"Mums ir iemesls uzskatīt, ka problēma nebija mūsu pamata protokola koda nepilnību rezultāts, bet drīzāk to varēja izraisīt ievainojamība trešo pušu bibliotēku sajaukšanā vienā no viedajiem līgumiem, ko izmanto mūsu eksperimentālie un privātie brokeri. ," viņš teica.
Koloskovs atzīmēja, ka izmantotajam līgumam nebija lielas nozīmes sabiedrībai, bet to galvenokārt izmantoja viens no tā eksperimentālajiem brokeriem ar uzņēmuma kasi. Viņš teica, ka lietotāju līdzekļi ir 100% droši.
Neskatoties uz to, Orion depozīta funkcija ir slēgta, un tā netiks atkārtoti atvērta, kamēr kļūda nav izlabota un veiktas atbilstošas auditas.
DeFi Honeypot
DeFi uzlaušanas rezultātā nozagtā nauda laika gaitā pieaug: 2022. gadā tika nozagti 3.8 miljardi ASV dolāru, no kuriem 1.7 miljardi ASV dolāru ņemti tikai Ziemeļkorejas hakeri.
Lielu daļu šīs naudas paņēma Ziemeļkorejas Lazarus grupa, kas ir aizdomas jūnijā veica Harmony Bridge uzlaušanu 100 miljonu dolāru vērtībā.
Daži no ienesīgākajiem kriptovalūtu uzlaušanas mērķiem ir bijuši blokķēdes tilti, kur tiek glabātas kriptovalūtas, kas atbalsta to tokenizētos variantus, kas cirkulē citās blokķēdes.
Oktobrī pārbaudītāji apturēja Binance Smart Chain (BSC) darbību pēc tam, kad hakeris, izmantojot blokķēdes tiltu, no zila gaisa izkala 2 miljonus BNB (tolaik 600 miljonu dolāru vērtībā). Liela daļa BNB bija ātri noslaucīja prom uz citām ķēdēm pēc tam.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/