Orion Protocol — агрегатор ликвидности для бирж CeFi и DeFi — в четверг был взломан его основной контракт в распределении Ethereum и Binance Smart Chains (BSC).
Хакер получил более 1700 ETH, что на момент написания статьи стоило более 3 миллионов долларов.
Еще один реентерабельный хак
Как объяснил компанией PeckShield, занимающейся безопасностью блокчейнов, в Твиттере взлом в четверг стал возможным «из-за неполной защиты от повторного входа». Ошибка повторного входа означает, что злоумышленник может многократно бесплатно снимать деньги со смарт-контракта.
PeckShield уточнил, что функция swapThroughOrionPool позволяет любому, у кого есть созданные токены, перехватить перевод, чтобы повторно войти в функцию депозитного актива. Это позволяет пользователям увеличивать свой баланс без каких-либо реальных денежных затрат.
В этом случае хакер использовал недавно созданный токен под названием ATK и самоуничтожающийся смарт-контракт для управления пулами Orion.
4/ Взлом впервые запускается на BSC со стартовым фондом 0,4 BNB от @TornadoCash. Взлом ETH вычитает стартовый фонд 0,4 ETH. @SimpleSwap_io. После взлома выигрыш в размере 1100 ETH зачисляется на @TornadoCash и остальные 657 ETH остаются на счету хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
— PeckShield Inc. (@peckshield) 3 февраля 2023 г.
Алексей Колосков, генеральный директор «Орион», опубликовал нить объясняет эксплойт вскоре после того, как он произошел.
«У нас есть основания полагать, что проблема не была результатом каких-либо недостатков в коде нашего основного протокола, а скорее могла быть вызвана уязвимостью при смешивании сторонних библиотек с одним из смарт-контрактов, используемых нашими экспериментальными и частными брокерами. “он такой.
Колосков отметил, что эксплуатируемый контракт не имел большого значения для общественности, а в основном использовался одним из его экспериментальных брокеров с финансами компании. Инструменты, по его словам, на 100% безопасны.
Тем не менее, депозитная функция Orion была закрыта и не будет открыта до тех пор, пока ошибка не будет исправлена и не будут проведены надлежащие проверки.
Приманка DeFi
Деньги, украденные с помощью взломов DeFi, со временем растут: в 2022 году было украдено 3,8 миллиарда долларов, из них 1,7 миллиарда долларов в криптовалюте. взятый только северокорейскими хакерами.
Большую часть денег забрала северокорейская Lazarus Group, которая подозревать в июне взломал мост Harmony стоимостью 100 миллионов долларов.
Одними из самых прибыльных целей криптохакеров были мосты блокчейнов, где хранятся криптовалюты, поддерживающие их токенизированные варианты, циркулирующие в других блокчейнах.
В октябре Binance Smart Chain (BSC) была приостановлена валидаторами после того, как хакер из ничего вытащил 2 миллиона BNB (на тот момент это стоило 600 миллионов долларов), воспользовавшись мостом блокчейна. Большая часть BNB была быстрой отвернулся потом в другие сети.
Binance Free $100 (эксклюзивно): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10% на Binance Futures в первый месяц. (условия).
Специальное предложение PrimeXBT: используйте эту ссылку, чтобы зарегистрироваться и ввести код POTATO50, чтобы получить до 7000 долларов США на свои депозиты.
