Orion Protocol – isang liquidity aggregator para sa parehong CeFi at DeFi exchanges – nakita ang pangunahing kontrata nito na na-hack noong Huwebes sa parehong Ethereum at Binance Smart Chains (BSC) deployment nito.
Ang hacker ay nakakuha ng higit sa 1700 ETH, pinagsama-samang nagkakahalaga ng higit sa $3 milyon sa oras ng pagsulat.
Isa pang Reentrancy Hack
As ipinaliwanag ng blockchain security company na PeckShield sa Twitter, naging posible ang hack noong Huwebes “dahil sa hindi kumpletong proteksyon sa muling pagpasok.” Ang reentrancy bug ay tumutukoy sa kapag ang isang umaatake ay maaaring mag-withdraw ng mga pondo nang paulit-ulit mula sa isang matalinong kontrata nang walang bayad.
Ipinaliwanag ng PeckShield na ang swapThroughOrionPool function ay nagbibigay-daan sa sinumang may ginawang mga token na i-hijack ang kanilang paglipat sa muling pagpasok sa deposit asset function. Nagbibigay-daan ito sa mga user na mapataas ang kanilang balanse nang walang anumang aktwal na halaga ng mga pondo.
Sa kasong ito, gumamit ang hacker ng bagong gawang token na tinatawag na ATK, at isang smart contract na nakakasira sa sarili, para manipulahin ang mga pool ng Orion.
4/ Ang hack ay nagsimula muna sa BSC w/ paunang pondo 0.4 BNB mula sa @TornadoCash. Ang ETH hack ay kumukuha ng paunang pondo 0.4 ETH mula sa @SimpleSwap_io. Pagkatapos ng hack, ang pakinabang ng 1100 ETH ay idedeposito sa @TornadoCash at iba pang 657 ETH ay nananatili sa account ng hacker: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Pebrero 3, 2023
Alexey Koloskov, CEO ng Orion, naglathala ng isang sinulid ipinapaliwanag ang pagsasamantala sa ilang sandali matapos itong mangyari.
"Mayroon kaming mga dahilan upang maniwala na ang isyu ay hindi resulta ng anumang mga pagkukulang sa aming pangunahing protocol code, ngunit sa halip ay maaaring sanhi ng isang kahinaan sa paghahalo ng mga third-party na aklatan sa isa sa mga matalinong kontrata na ginagamit ng aming mga eksperimental at pribadong broker ," sinabi niya.
Nabanggit ni Koloskov na ang pinagsasamantalahang kontrata ay hindi malaking import sa publiko, ngunit pangunahing ginagamit ng isa sa mga pang-eksperimentong broker nito sa treasury ng kumpanya. Ang mga pondo ng gumagamit, aniya, ay 100% ligtas.
Gayunpaman, ang Orion's Deposit function ay sarado na, at hindi na muling bubuksan hanggang sa ang bug ay ma-patched at maayos na pag-audit ay naganap.
Ang DeFi Honeypot
Ang pera na ninakaw sa pamamagitan ng mga hack ng DeFi ay lumalaki sa paglipas ng panahon: Noong 2022, $3.8 bilyon ang ninakaw, na may $1.7 bilyon sa crypto kinuha sa pamamagitan lamang ng mga hacker ng North Korean.
Karamihan sa perang iyon ay kinuha ng North Korean Lazarus Group, which is pinaghihinalaan na naisakatuparan ang $100 milyon na Harmony bridge hack noong Hunyo.
Ang ilan sa mga pinaka-kapaki-pakinabang na target para sa mga crypto hack ay ang mga blockchain bridge – kung saan ang mga cryptocurrencies na sumusuporta sa kanilang mga tokenized na variant na nagpapalipat-lipat sa iba pang mga blockchain ay naka-imbak.
Noong Oktubre, ang Binance Smart Chain (BSC) ay na-pause ng mga validator matapos ang isang hacker ay gumawa ng 2 Million BNB (na nagkakahalaga ng $600 milyon noong panahong iyon) sa pamamagitan ng pagsasamantala sa blockchain bridge. Mabilis ang karamihan sa BNB inalis sa iba pang mga kadena pagkatapos.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/