Orion Protocol – zbiralnik likvidnosti za borzi CeFi in DeFi – je v četrtek opazil vdor v njegovo temeljno pogodbo v obeh uvedbah Ethereum in Binance Smart Chains (BSC).
Heker je prinesel več kot 1700 ETH, kar je v času pisanja kumulativno vredno več kot 3 milijone dolarjev.
Še en ponovni vdor
As razložiti varnostnega podjetja za verigo blokov PeckShield na Twitterju je četrtkov vdor omogočil "zaradi nepopolne zaščite pred ponovnim vstopom." Napaka pri ponovnem vstopu se nanaša na primer, ko lahko napadalec večkrat brezplačno dvigne sredstva iz pametne pogodbe.
PeckShield je pojasnil, da funkcija swapThroughOrionPool omogoča vsakomur z izdelanimi žetoni, da ugrabi njihov prenos v ponovni vstop v funkcijo depozitnega sredstva. To uporabnikom omogoča povečanje stanja brez dejanskih stroškov sredstev.
V tem primeru je heker uporabil na novo zgrajen žeton, imenovan ATK, in samouničujočo pametno pogodbo za manipulacijo Orionovih bazenov.
4/ Vdor se začne najprej na BSC z začetnim skladom 0.4 BNB od @TornadoCash. Vdor v ETH črpa začetni sklad 0.4 ETH iz @SimpleSwap_io. Po vdoru se dobiček 1100 ETH deponira v @TornadoCash in drugih 657 ETH ostane na hekerjevem računu: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februar 3, 2023
Alexey Koloskov, izvršni direktor Oriona, je objavil a navoj razlago izkoriščanja kmalu po tem, ko se je zgodilo.
»Imamo razloge za domnevo, da težava ni bila posledica kakršnih koli pomanjkljivosti v naši osnovni kodi protokola, temveč jo je morda povzročila ranljivost pri mešanju knjižnic tretjih oseb v eni od pametnih pogodb, ki jih uporabljajo naši eksperimentalni in zasebni posredniki. ," rekel je.
Koloskov je opozoril, da izkoriščena pogodba ni bila pomembna za javnost, ampak jo je v glavnem uporabljal eden od njegovih poskusnih posrednikov z zakladnico podjetja. Uporabniška sredstva so po njegovih besedah 100-odstotno varna.
Kljub temu je bila Orionova funkcija depozita zaprta in ne bo ponovno odprta, dokler hrošč ne bo popravljen in opravljene ustrezne revizije.
DeFi Honeypot
Denar, ukraden prek vdorov v DeFi, sčasoma narašča: leta 2022 je bilo ukradenih 3.8 milijarde dolarjev, od tega 1.7 milijarde dolarjev v kripto sprejeti samo severnokorejski hekerji.
Velik del tega denarja je vzel severnokorejski Lazarus Group, ki je sum da je junija izvedel 100 milijonov dolarjev vreden vdor v Harmony bridge.
Nekatere najbolj donosne tarče za kripto vdore so bili mostovi verig blokov – kjer so shranjene kriptovalute, ki podpirajo svoje tokenizirane različice, ki krožijo po drugih verigah blokov.
Oktobra so validatorji začasno ustavili Binance Smart Chain (BSC), potem ko je heker z izkoriščanjem mostu blockchain iz nič naredil 2 milijona BNB (takrat vrednih 600 milijonov dolarjev). Velik del BNB je bil hiter odpeljal stran drugim verigam v nadaljevanju.
Binance brezplačno 100 $ (ekskluzivno): Uporabite to povezavo da se registrirate in prejmete 100 $ brezplačno in 10 % popusta na Binance Futures prvi mesec (Pogoji).
Posebna ponudba PrimeXBT: Uporabite to povezavo za registracijo in vnos kode POTATO50, da boste prejeli do 7,000 $ na svoje depozite.
Vir: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/