Orion-protocol uitgebuit door hacker die ongeveer $ 3 miljoen weghaalt

• Meer dan 1,700 Ethereum, of meer dan $ 3 miljoen, werden door de hacker gestolen.
• De hacker manipuleerde in dit geval de pools van Orion door een nieuw token met de naam ATK te maken.

Op donderdag, het fundamentele contract van Orion-protocol, een liquiditeitsaggregator voor CeFi- en DeFi-uitwisselingen, werd gecompromitteerd in zowel de implementatie van Ethereum als Binance Smart Chains (BSC). Meer dan 1,700 Ethereum, of meer dan $ 3 miljoen, werden door de hacker gestolen.

Op donderdag was de inbreuk mogelijk vanwege onvoldoende bescherming tegen terugkeer, zoals beschreven door blockchain-beveiligingsbedrijf PeckSchild op Twitter. Bij een herintredingsprobleem kan een aanvaller herhaaldelijk geld uit een slim contract halen zonder enige vergoeding te betalen.

Volgens PeckShield stelt het gebruik van de swapThroughOrionPool-methode iedereen met speciaal ontworpen tokens in staat om opnieuw in de deposito-activafunctie te komen en de tokens te stelen. Er zijn geen geldelijke uitgaven vereist om het rekeningsaldo op deze manier te laten groeien.

Stortingsfunctie onderbroken 

De hacker manipuleerde in dit geval de pools van Orion door een nieuw token genaamd ATK en een zelfvernietigend slim contract te maken. CEO van Orion Alexey Koloskov plaatste een thread met details over de kwetsbaarheid kort nadat deze was ontdekt.

Zelfs als het uitgebuite contract werd gebruikt door een van de experimentele makelaars van het bedrijf, benadrukte Koloskov dat het van weinig openbaar belang was. Hij verzekerde de menigte dat hun geld volkomen veilig was. De stortingsfunctie van Orion is echter uitgeschakeld en zal niet opnieuw worden geopend totdat het probleem is verholpen en de juiste audits zijn uitgevoerd.

De hoeveelheid geld gestolen door Defi In 2022 nam het aantal inbreuken toe, werd $3.8 miljard gestolen, waarvan $1.7 miljard in crypto en gepleegd door Noord-Koreaanse hackers. Algemeen wordt aangenomen dat de doorbraak van de Harmony-brug van $ 100 miljoen in juni is uitgevoerd door de Noord-Koreaanse Lazarus Group, die een groot deel van het gestolen geld heeft gestolen.

Aanbevolen voor jou:

Hacker exploiteert het BonqDAO-protocol van meer dan $ 120 miljoen