Orion Protocol – en likviditetsaggregator för både CeFi- och DeFi-börser – såg sitt kärnkontrakt hackas på torsdagen över både Ethereum och Binance Smart Chains (BSC)-distributioner.
Hackaren tjänade över 1700 ETH, kumulativt värt över 3 miljoner dollar vid skrivningstidpunkten.
Ännu ett Reentrancy Hack
As förklarade av blockchain-säkerhetsföretaget PeckShield på Twitter, blev torsdagens hack möjlig "på grund av ofullständigt återinträdesskydd." En återinträdesbugg hänvisar till när en angripare kan ta ut pengar upprepade gånger från ett smart kontrakt utan kostnad.
PeckShield utvecklade att swapThroughOrionPool-funktionen låter alla med skapade tokens kapa sin överföring för att återgå till insättningstillgångsfunktionen. Detta låter användare öka sitt saldo utan några faktiska kostnader för pengar.
I det här fallet använde hackaren en nykonstruerad token som heter ATK, och ett självförstörande smart kontrakt, för att manipulera Orions pooler.
4/ Hacket startas först på BSC med startfond 0.4 BNB från @TornadoCash. ETH-hacket drar initialfond 0.4 ETH från @SimpleSwap_io. Efter hacket sätts vinsten på 1100 ETH in på @TornadoCash och andra 657 ETH stannar kvar på hackarens konto: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februari 3, 2023
Alexey Koloskov, VD för Orion, publicerade en gänga förklarar utnyttjandet kort efter att det inträffade.
"Vi har skäl att tro att problemet inte var ett resultat av några brister i vår kärnprotokollkod, utan snarare kan ha orsakats av en sårbarhet i att blanda tredjepartsbibliotek i ett av de smarta kontrakten som används av våra experimentella och privata mäklare ," han sa.
Koloskov noterade att det utnyttjade kontraktet inte var av större betydelse för allmänheten, utan användes huvudsakligen av en av dess experimentella mäklare med företagets finansförvaltning. Användarmedel, sa han, är 100% säkra.
Ändå har Orions insättningsfunktion stängts och kommer inte att öppnas igen förrän buggen har åtgärdats och korrekta granskningar har ägt rum.
DeFi Honeypot
Pengar som stulits genom DeFi-hack växer över tiden: 2022 stals 3.8 miljarder dollar, med 1.7 miljarder dollar i krypto. tagen enbart av nordkoreanska hackare.
Mycket av de pengarna togs av den nordkoreanska Lazarus Group, vilket är misstänks att ha utfört Harmony bridge hacket på 100 miljoner dollar i juni.
Några av de mest lukrativa målen för kryptohack har varit blockchain-broar – där kryptovalutor som backar upp sina tokeniserade varianter som cirkulerar på andra blockkedjor lagras.
I oktober pausades Binance Smart Chain (BSC) av validerare efter att en hackare slog 2 miljoner BNB (värda $600 miljoner vid den tiden) ur tomma intet genom att utnyttja blockchain-bron. Mycket av BNB var snabbt visats bort till andra kedjor i efterdyningarna.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/