Orion Protocol – pengagregat kecairan untuk kedua-dua pertukaran CeFi dan DeFi – menyaksikan kontrak terasnya digodam pada hari Khamis merentas penggunaan Ethereum dan Binance Smart Chains (BSC).
Penggodam itu menjaringkan lebih 1700 ETH, secara kumulatif bernilai lebih $3 juta pada masa penulisan.
Satu lagi Reentrancy Hack
As menjelaskan oleh syarikat keselamatan blockchain PeckShield di Twitter, penggodaman Khamis telah dimungkinkan "disebabkan oleh perlindungan kemasukan semula yang tidak lengkap." Pepijat kemasukan semula merujuk kepada apabila penyerang boleh mengeluarkan dana berulang kali daripada kontrak pintar tanpa sebarang kos.
PeckShield menghuraikan bahawa fungsi swapThroughOrionPool membenarkan sesiapa sahaja yang mempunyai token yang direka untuk merampas pemindahan mereka untuk memasuki semula fungsi aset deposit. Ini membolehkan pengguna meningkatkan baki mereka tanpa sebarang kos dana sebenar.
Dalam kes ini, penggodam menggunakan token yang baru dibina dipanggil ATK, dan kontrak pintar yang merosakkan diri, untuk memanipulasi kumpulan Orion.
4/ Godam dimulakan dahulu pada BSC dengan dana permulaan 0.4 BNB daripada @TornadoCash. Godam ETH mengeluarkan dana permulaan 0.4 ETH daripada @SimpleSwap_io. Selepas penggodaman, keuntungan sebanyak 1100 ETH didepositkan ke dalam @TornadoCash dan 657 ETH lain kekal dalam akaun penggodam: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februari 3, 2023
Alexey Koloskov, Ketua Pegawai Eksekutif Orion, menerbitkan a thread menerangkan eksploitasi sejurus selepas ia berlaku.
“Kami mempunyai sebab untuk mempercayai bahawa isu itu bukan akibat daripada sebarang kekurangan dalam kod protokol teras kami, tetapi mungkin disebabkan oleh kelemahan dalam mencampurkan perpustakaan pihak ketiga dalam salah satu kontrak pintar yang digunakan oleh broker eksperimen dan swasta kami. ,” katanya.
Koloskov menyatakan bahawa kontrak yang dieksploitasi bukan merupakan import utama kepada orang ramai, tetapi digunakan terutamanya oleh salah satu broker percubaannya dengan perbendaharaan syarikat. Dana pengguna, katanya, adalah 100% selamat.
Namun begitu, fungsi Deposit Orion telah ditutup, dan tidak akan dibuka semula sehingga pepijat ditambal dan audit yang betul telah dilakukan.
The DeFi Honeypot
Wang yang dicuri melalui penggodaman DeFi berkembang dari semasa ke semasa: Pada 2022, $3.8 bilion telah dicuri, dengan $1.7 bilion dalam kripto diambil oleh penggodam Korea Utara sahaja.
Kebanyakan wang itu diambil oleh Kumpulan Lazarus Korea Utara, iaitu disyaki telah melaksanakan penggodaman jambatan Harmony bernilai $100 juta pada bulan Jun.
Beberapa sasaran yang paling menguntungkan untuk penggodaman kripto adalah jambatan rantaian blok - di mana mata wang kripto yang menyokong varian token mereka yang beredar di rantaian blok lain disimpan.
Pada bulan Oktober, Binance Smart Chain (BSC) telah dijeda oleh pengesah selepas seorang penggodam mengeluarkan 2 Juta BNB (bernilai $600 juta pada masa itu) dari udara yang tipis dengan mengeksploitasi jambatan blockchain. Sebahagian besar BNB adalah pantas dibawa pergi kepada rantaian lain selepas itu.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/