Orion Protocol — агрэгатар ліквіднасці як для біржаў CeFi, так і для DeFi — у чацвер узламаў асноўны кантракт як на Ethereum, так і на Binance Smart Chains (BSC).
Хакер зарабіў больш за 1700 ETH, агульны кошт якіх на момант напісання артыкула перавышаў 3 мільёны долараў.
Яшчэ адзін узлом Reentrancy
As растлумачаны кампанія па бяспецы блокчейна PeckShield у Twitter, узлом у чацвер стаў магчымым «з-за няпоўнай абароны ад паўторнага ўваходу». Памылка паўторнага ўваходу азначае, што зламыснік можа бясплатна здымаць сродкі са смарт-кантракту.
PeckShield удакладніў, што функцыя swapThroughOrionPool дазваляе любому, хто мае створаныя токены, захапіць іх перадачу для паўторнага ўваходу ў функцыю дэпазітных актываў. Гэта дазваляе карыстальнікам павялічваць свой баланс без якіх-небудзь фактычных выдаткаў сродкаў.
У гэтым выпадку хакер выкарыстаў нядаўна створаны токен пад назвай ATK і смарт-кантракт, які самаразбураецца, каб маніпуляваць пуламі Orion.
4/ Хак пачынаецца спачатку на BSC з пачатковым фондам 0.4 BNB з @Tornadocash. Узлом ETH прыцягвае першапачатковы фонд у 0.4 ETH @SimpleSwap_io. Пасля ўзлому прыбытак у памеры 1100 ETH уносіцца ў @Tornadocash і іншыя 657 ETH застаюцца на рахунку хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Люты 3, 2023
Аляксей Коласков, генеральны дырэктар Orion, апублікаваў а нітка тлумачачы эксплойт неўзабаве пасля таго, як ён адбыўся.
«У нас ёсць падставы меркаваць, што праблема не была вынікам якіх-небудзь недахопаў у нашым асноўным кодзе пратаколу, а магла быць выклікана ўразлівасцю ў змешванні старонніх бібліятэк у адным са смарт-кантрактаў, якія выкарыстоўваюцца нашымі эксперыментальнымі і прыватнымі брокерамі. ," ён сказау.
Калоскаў адзначыў, што эксплуатаваны кантракт не меў вялікага значэння для грамадскасці, але ў асноўным выкарыстоўваўся адным з эксперыментальных брокераў з казначэйствам кампаніі. Сродкі карыстальнікаў, па яго словах, на 100% бяспечныя.
Тым не менш, функцыя дэпазіту Orion была зачынена і не будзе зноў адкрыта, пакуль памылка не будзе выпраўлена і не будуць праведзены належныя аўдыты.
DeFi Honeypot
Грошы, скрадзеныя праз узломы DeFi, з цягам часу растуць: у 2022 годзе было выкрадзена 3.8 мільярда долараў, прычым 1.7 мільярда долараў у крыптаграфіі прынятыя толькі паўночнакарэйскімі хакерамі.
Значную частку гэтых грошай забрала паўночнакарэйская Lazarus Group, якая з'яўляецца падазраваны у чэрвені здзейсніў узлом Harmony Bridge коштам 100 мільёнаў долараў.
Аднымі з найбольш прыбытковых мэтаў для крыпта-хакаў былі блокчейн-масты - дзе захоўваюцца крыптавалюты, якія падтрымліваюць іх токенізаваныя варыянты, якія цыркулююць у іншых блокчейнах.
У кастрычніку Binance Smart Chain (BSC) быў прыпынены валідатарамі пасля таго, як хакер адчаканіў 2 мільёны BNB (на той момант 600 мільёнаў долараў) на пустым месцы, выкарыстоўваючы блокчэйн-брыдж. Значная частка БНБ была хутка вывезлі прэч да іншых ланцугоў пасля.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/