Протокол Orion взломан на 3 миллиона долларов с помощью реентерабельной атаки

Orion Protocol — агрегатор ликвидности для бирж CeFi и DeFi — в четверг был взломан его основной контракт в распределении Ethereum и Binance Smart Chains (BSC).

Хакер получил более 1700 ETH, что на момент написания статьи стоило более 3 миллионов долларов.

Еще один реентерабельный хак

Как объяснил компанией PeckShield, занимающейся безопасностью блокчейнов, в Твиттере взлом в четверг стал возможным «из-за неполной защиты от повторного входа». Ошибка повторного входа означает, что злоумышленник может многократно бесплатно снимать деньги со смарт-контракта.

PeckShield уточнил, что функция swapThroughOrionPool позволяет любому, у кого есть созданные токены, перехватить перевод, чтобы повторно войти в функцию депозитного актива. Это позволяет пользователям увеличивать свой баланс без каких-либо реальных денежных затрат.

В этом случае хакер использовал недавно созданный токен под названием ATK и самоуничтожающийся смарт-контракт для управления пулами Orion.

Алексей Колосков, генеральный директор «Орион», опубликовал нить объясняет эксплойт вскоре после того, как он произошел.

«У нас есть основания полагать, что проблема не была результатом каких-либо недостатков в коде нашего основного протокола, а скорее могла быть вызвана уязвимостью при смешивании сторонних библиотек с одним из смарт-контрактов, используемых нашими экспериментальными и частными брокерами. “он такой.

Колосков отметил, что эксплуатируемый контракт не имел большого значения для общественности, а в основном использовался одним из его экспериментальных брокеров с финансами компании. Инструменты, по его словам, на 100% безопасны.

XBNFNM   Nuclear отправляет оборудование для майнинга на 20 миллионов долларов для урегулирования спора об оплате

Тем не менее, депозитная функция Orion была закрыта и не будет открыта до тех пор, пока ошибка не будет исправлена ​​и не будут проведены надлежащие проверки.

Приманка DeFi

Деньги, украденные с помощью взломов DeFi, со временем растут: в 2022 году было украдено 3,8 миллиарда долларов, из них 1,7 миллиарда долларов в криптовалюте. взятый только северокорейскими хакерами.

Большую часть денег забрала северокорейская Lazarus Group, которая подозревать в июне взломал мост Harmony стоимостью 100 миллионов долларов.

Одними из самых прибыльных целей для криптохакеров были мосты блокчейнов, где хранятся криптовалюты, поддерживающие их токенизированные варианты, циркулирующие в других блокчейнах.

В октябре Binance Smart Chain (BSC) была приостановлена ​​валидаторами после того, как хакер из ничего вытащил 2 миллиона BNB (на тот момент это стоило 600 миллионов долларов), воспользовавшись мостом блокчейна. Большая часть BNB была быстрой отвернулся потом в другие сети.

СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ (при поддержке)

Binance Free $100 (эксклюзивно): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10% на Binance Futures в первый месяц. (условия).

Специальное предложение PrimeXBT: используйте эту ссылку, чтобы зарегистрироваться и ввести код POTATO50, чтобы получить до 7000 долларов США на свои депозиты.



Source