Orion Protocol – агрегатор ліквідності як для бірж CeFi, так і для DeFi – зіткнувся з зламаним у четвер його основним контрактом у розгортанні Ethereum і Binance Smart Chains (BSC).
Хакер заробив понад 1700 ETH, що на момент написання статті становило понад 3 мільйони доларів.
Ще один хак Reentrancy
As пояснені компанією з безпеки блокчейну PeckShield у Twitter, злом у четвер став можливим «через неповний захист від повторного входу». Помилка повторного входу означає, що зловмисник може неодноразово вилучати кошти зі смарт-контракту безкоштовно.
PeckShield уточнив, що функція swapThroughOrionPool дозволяє будь-кому, хто має створені токени, викрасти їх переказ для повторного входу до функції депозитних активів. Це дозволяє користувачам збільшувати свій баланс без будь-яких фактичних витрат коштів.
У цьому випадку хакер використав нещодавно створений токен під назвою ATK і смарт-контракт, що самознищується, щоб маніпулювати пулами Orion.
4/ Хак починається спочатку на BSC з початковим фондом 0.4 BNB з @TornadoCash. Злом ETH залучає початковий фонд у розмірі 0.4 ETH @SimpleSwap_io. Після злому виграш 1100 ETH вноситься в @TornadoCash та інші 657 ETH залишаються на рахунку хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) 3 Лютого, 2023
Олексій Колосков, генеральний директор Orion, опублікував a нитка пояснюючи експлойт незабаром після того, як він стався.
«У нас є підстави вважати, що проблема не була результатом будь-яких недоліків у нашому коді основного протоколу, а могла бути викликана вразливістю в змішуванні бібліотек сторонніх розробників в одному зі смарт-контрактів, які використовують наші експериментальні та приватні брокери. ," він сказав.
Колосков зазначив, що використаний контракт не мав великого значення для громадськості, а в основному використовувався одним із його експериментальних брокерів з казначейством компанії. Кошти користувачів, за його словами, безпечні на 100%.
Тим не менш, функція депозиту Orion була закрита та не буде знову відкрита, доки помилку не буде виправлено та не буде проведено відповідні перевірки.
Приманка DeFi
Гроші, вкрадені через хакерські атаки DeFi, з часом зростають: у 2022 році було вкрадено 3.8 мільярда доларів, з них 1.7 мільярда доларів у криптовалюті прийняті лише північнокорейськими хакерами.
Значну частину цих грошей забрала північнокорейська Lazarus Group, яка є підозрюваний у червні здійснив злом Harmony bridge вартістю 100 мільйонів доларів.
Одними з найприбутковіших цілей для криптозломів були блокчейн-мости, де зберігаються криптовалюти, що підтримують їх токенізовані варіанти, що обертаються в інших блокчейнах.
У жовтні Binance Smart Chain (BSC) було призупинено валідаторами після того, як хакер викарбував 2 мільйони BNB (на той час вартістю 600 мільйонів доларів) з повітря, використовуючи міст блокчейну. Значна частина БНБ була швидкою вигнали геть до інших ланцюгів у подальшому.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/