Orion Protocol – një grumbullues likuiditeti për shkëmbimet CeFi dhe DeFi – pa kontratën e tij thelbësore të hakuar të enjten në të dy vendosjet e tij Ethereum dhe Binance Smart Chains (BSC).
Hakeri fitoi mbi 1700 ETH, me vlerë kumulative mbi 3 milionë dollarë në kohën e shkrimit.
Një tjetër hakim i rihyrjes
As shpjegoi nga kompania e sigurisë së blockchain PeckShield në Twitter, hakimi i së enjtes u bë i mundur "për shkak të mbrojtjes jo të plotë të rihyrjes". Një gabim i rihyrjes i referohet kur një sulmues mund të tërheqë fondet në mënyrë të përsëritur nga një kontratë inteligjente pa asnjë kosto.
PeckShield shtjelloi se funksioni swapThroughOrionPool lejon këdo me argumente të krijuara të rrëmbejë transferimin e tyre për të rihyrë në funksionin e aktivit të depozitës. Kjo i lejon përdoruesit të rrisin bilancin e tyre pa ndonjë kosto aktuale të fondeve.
Në këtë rast, hakeri përdori një token të sapondërtuar të quajtur ATK, dhe një kontratë inteligjente vetëshkatërruese, për të manipuluar pishinat e Orionit.
4/ Hakimi fillon së pari në BSC me fondin fillestar 0.4 BNB nga @TornadoCash. Hakimi ETH merr fondin fillestar prej 0.4 ETH @SimpleSwap_io. Pas hakimit, fitimi prej 1100 ETH depozitohet në @TornadoCash dhe 657 ETH të tjera qëndrojnë në llogarinë e hakerit: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Shkurt 3, 2023
Alexey Koloskov, CEO i Orion, publikoi një fije duke shpjeguar shfrytëzimin menjëherë pasi ka ndodhur.
“Ne kemi arsye të besojmë se problemi nuk ishte rezultat i ndonjë mangësie në kodin tonë të protokollit bazë, por mund të ishte shkaktuar nga një dobësi në përzierjen e bibliotekave të palëve të treta në një nga kontratat inteligjente të përdorura nga agjentët tanë eksperimentalë dhe privatë. ”, tha ai.
Koloskov vuri në dukje se kontrata e shfrytëzuar nuk ishte e një rëndësie të madhe për publikun, por u përdor kryesisht nga një prej ndërmjetësve të saj eksperimentalë me thesarin e kompanisë. Fondet e përdoruesve, tha ai, janë 100% të sigurta.
Sidoqoftë, funksioni i Depozitës së Orionit është mbyllur dhe nuk do të rihapet derisa të korrigjohet defekti dhe të bëhen auditimet e duhura.
Honeypot DeFi
Paratë e vjedhura përmes hakimeve të DeFi po rriten me kalimin e kohës: Në vitin 2022, u vodhën 3.8 miliardë dollarë, me 1.7 miliardë dollarë në kripto marrë vetëm nga hakerat e Koresë së Veriut.
Pjesa më e madhe e këtyre parave u morën nga Grupi i Koresë së Veriut Lazarus, i cili është dyshuar të kishte ekzekutuar hakimin e urës Harmony prej 100 milionë dollarësh në qershor.
Disa nga objektivat më fitimprurës për hakimet e kriptove kanë qenë urat e blockchain - ku ruhen kriptovalutat që mbështesin variantet e tyre të tokenizuara që qarkullojnë në zinxhirë të tjerë bllokues.
Në tetor, Binance Smart Chain (BSC) u ndalua nga verifikuesit pasi një haker nxorri 2 milionë BNB (me vlerë 600 milionë dollarë në atë kohë) nga ajri duke shfrytëzuar urën e blockchain. Pjesa më e madhe e BNB-së ishte shpejt u largua në zinxhirë të tjerë në vazhdim.
Binance Pa pagesë 100 dollarë (ekskluzive): Përdoreni këtë link për t'u regjistruar dhe për të marrë 100 dollarë tarifa falas dhe 10% ulje në muajin e parë të Binance Futures (Kushtet).
Oferta speciale PrimeXBT: Përdoreni këtë link për t'u regjistruar dhe futur kodin POTATO50 për të marrë deri në 7,000 dollarë në depozitat tuaja.
Burimi: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/