- Mer än 1,700 3 Ethereum, eller mer än XNUMX miljoner dollar, stals av hackaren.
- Hackaren i det här fallet manipulerade Orions pooler genom att skapa en ny token som heter ATK.
På torsdag, det grundläggande kontraktet för Orion-protokollet, en likviditetsaggregator för CeFi- och DeFi-börser, äventyrades i både Ethereum och Binance Smart Chains (BSC). Mer än 1,700 3 Ethereum, eller mer än XNUMX miljoner dollar, stals av hackaren.
På torsdagen var intrånget möjligt på grund av otillräckligt skydd för återinträde, som beskrivs av blockchain-säkerhetsföretaget PeckShield på Twitter. Med ett problem med återinträde kan en angripare upprepade gånger ta pengar från ett smart kontrakt utan att betala några avgifter.
Enligt PeckShield tillåter swapThroughOrionPool-metoden alla med specialdesignade tokens att återgå till insättningstillgångsfunktionen och stjäla tokens. Det krävs inga pengar för att öka kontosaldot på detta sätt.
Insättningsfunktionen pausad
Hackaren i det här fallet manipulerade Orions pooler genom att skapa en ny token som heter ATK och ett självförstörande smart kontrakt. VD för Orion Alexey Koloskov lade upp en tråd som beskriver sårbarheten strax efter att den upptäcktes.
Även om det utnyttjade kontraktet utnyttjades av en av företagets experimentella mäklare, betonade Koloskov att det var av liten offentlig betydelse. Han försäkrade folkmassan att deras pengar var helt säkra. Orions insättningsfunktion har dock stängts av och kommer inte att öppnas igen förrän problemet har åtgärdats och lämpliga revisioner har utförts.
Den summa pengar som stulits av Defi intrång har ökat under 2022, 3.8 miljarder dollar stals, varav 1.7 miljarder dollar var i krypto och begicks av nordkoreanska hackare. Överträdelsen av Harmony-bron på 100 miljoner dollar i juni tros allmänt ha utförts av den nordkoreanska Lazarus Group, som stal en stor del av de stulna medlen.
Rekommenderat för dig:
Hacker utnyttjar BonqDAO-protokollet på över 120 miljoner dollar
Källa: https://thenewscrypto.com/orion-protocol-exploited-by-hacker-stealing-away-roughly-3-million/