Το Orion Protocol – ένας συσσωρευτής ρευστότητας τόσο για τα ανταλλακτήρια CeFi όσο και για τα ανταλλακτήρια DeFi – παραβίασε το βασικό του συμβόλαιο την Πέμπτη και στις δύο εγκαταστάσεις του Ethereum και Binance Smart Chains (BSC).
Ο χάκερ συγκέντρωσε πάνω από 1700 ETH, συνολικής αξίας άνω των 3 εκατομμυρίων δολαρίων τη στιγμή της συγγραφής.
Άλλο ένα Hack Reentrancy
As εξήγησε από την εταιρεία ασφάλειας blockchain PeckShield στο Twitter, η εισβολή της Πέμπτης κατέστη δυνατή «λόγω της ελλιπούς προστασίας κατά της επανεισόδου». Το σφάλμα επανεισόδου αναφέρεται στο πότε ένας εισβολέας μπορεί να αποσύρει χρήματα επανειλημμένα από ένα έξυπνο συμβόλαιο χωρίς κόστος.
Ο PeckShield διευκρίνισε ότι η συνάρτηση swapThroughOrionPool επιτρέπει σε οποιονδήποτε έχει δημιουργημένα tokens να παραβιάσει τη μεταφορά τους και να εισέλθει ξανά στη συνάρτηση του ενεργητικού κατάθεσης. Αυτό επιτρέπει στους χρήστες να αυξήσουν το υπόλοιπό τους χωρίς πραγματικό κόστος χρημάτων.
Σε αυτή την περίπτωση, ο χάκερ χρησιμοποίησε ένα πρόσφατα κατασκευασμένο διακριτικό που ονομάζεται ATK, και ένα αυτοκαταστροφικό έξυπνο συμβόλαιο, για να χειραγωγήσει τις δεξαμενές του Orion.
4/ Το hack ξεκινά πρώτα στο BSC με αρχικό κεφάλαιο 0.4 BNB από @TornadoCash. Η εισβολή ETH αντλεί αρχικό κεφάλαιο 0.4 ETH από @SimpleSwap_io. Μετά το hack, το κέρδος των 1100 ETH κατατίθεται σε @TornadoCash και άλλα 657 ETH παραμένουν στον λογαριασμό του χάκερ: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Φεβρουάριος 3, 2023
Ο Alexey Koloskov, Διευθύνων Σύμβουλος της Orion, δημοσίευσε α νήμα εξηγώντας το exploit λίγο μετά την πραγματοποίησή του.
«Έχουμε λόγους να πιστεύουμε ότι το ζήτημα δεν ήταν αποτέλεσμα οποιωνδήποτε ελλείψεων στον κώδικα του βασικού πρωτοκόλλου μας, αλλά μάλλον προκλήθηκε από μια ευπάθεια στη μίξη βιβλιοθηκών τρίτων σε ένα από τα έξυπνα συμβόλαια που χρησιμοποιούνται από τους πειραματικούς και ιδιωτικούς μεσίτες μας ," αυτός είπε.
Ο Koloskov σημείωσε ότι το συμβόλαιο που εκμεταλλεύτηκε δεν ήταν σημαντικής σημασίας για το κοινό, αλλά χρησιμοποιήθηκε κυρίως από έναν από τους πειραματικούς μεσίτες του με το ταμείο της εταιρείας. Τα χρήματα των χρηστών, είπε, είναι 100% ασφαλή.
Ωστόσο, η λειτουργία κατάθεσης του Orion έχει κλείσει και δεν θα ανοίξει ξανά μέχρι να επιδιορθωθεί το σφάλμα και να πραγματοποιηθούν οι κατάλληλοι έλεγχοι.
Το DeFi Honeypot
Τα χρήματα που κλάπηκαν μέσω hacks DeFi αυξάνονται με την πάροδο του χρόνου: Το 2022, κλάπηκαν 3.8 δισεκατομμύρια δολάρια, με 1.7 δισεκατομμύρια δολάρια σε κρυπτογράφηση λαμβάνεται μόνο από βορειοκορεάτες χάκερ.
Μεγάλο μέρος αυτών των χρημάτων τα πήρε η βορειοκορεατική ομάδα Lazarus, η οποία είναι υποψία να έχει εκτελέσει το χακάρισμα 100 εκατομμυρίων δολαρίων Harmony bridge τον Ιούνιο.
Μερικοί από τους πιο κερδοφόρους στόχους για κρυπτογραφικές εισβολές ήταν οι γέφυρες blockchain – όπου αποθηκεύονται κρυπτονομίσματα που υποστηρίζουν τις διακριτικές παραλλαγές τους που κυκλοφορούν σε άλλες αλυσίδες μπλοκ.
Τον Οκτώβριο, το Binance Smart Chain (BSC) διακόπηκε από τους επικυρωτές αφού ένας χάκερ έκοψε 2 εκατομμύρια BNB (αξίας 600 εκατομμυρίων δολαρίων εκείνη την εποχή) εκμεταλλευόμενος τη γέφυρα blockchain. Μεγάλο μέρος του BNB ήταν γρήγορα αποσύρθηκε σε άλλες αλυσίδες στη συνέχεια.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/