Orion Protocol – een liquiditeitsaggregator voor zowel CeFi- als DeFi-uitwisselingen – zag donderdag zijn kerncontract gehackt in zowel zijn Ethereum- als Binance Smart Chains (BSC) -implementaties.
De hacker verdiende meer dan 1700 ETH, een cumulatieve waarde van meer dan $ 3 miljoen op het moment van schrijven.
Nog een herintredingshack
As uitgelegd door het blockchain-beveiligingsbedrijf PeckShield op Twitter, werd de hack van donderdag mogelijk gemaakt "vanwege onvolledige herintredingsbescherming". Een re-entrancy-bug verwijst naar wanneer een aanvaller herhaaldelijk gratis geld kan opnemen uit een slim contract.
PeckShield legde uit dat de swapThroughOrionPool-functie iedereen met vervaardigde tokens in staat stelt hun overdracht te kapen om opnieuw deel te nemen aan de deposito-activafunctie. Hierdoor kunnen gebruikers hun saldo verhogen zonder daadwerkelijke kosten van fondsen.
In dit geval gebruikte de hacker een nieuw geconstrueerd token genaamd ATK en een zelfvernietigend slim contract om de pools van Orion te manipuleren.
4/ De hack wordt als eerste gestart op BSC met startfonds 0.4 BNB vanaf @RTLnieuws. De ETH-hack haalt initieel fonds 0.4 ETH uit @SimpleSwap_io. Na de hack wordt de winst van 1100 ETH gestort @RTLnieuws en andere 657 ETH blijft in het account van de hacker: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) 3 februari 2023
Alexey Koloskov, CEO van Orion, publiceerde een draad het uitleggen van de exploit kort nadat deze plaatsvond.
“We hebben redenen om aan te nemen dat het probleem niet het gevolg was van tekortkomingen in onze kernprotocolcode, maar eerder veroorzaakt zou kunnen zijn door een kwetsbaarheid in het combineren van bibliotheken van derden in een van de slimme contracten die door onze experimentele en particuliere makelaars worden gebruikt. ," hij zei.
Koloskov merkte op dat het uitgebuite contract niet van groot belang was voor het publiek, maar voornamelijk werd gebruikt door een van zijn experimentele makelaars met de schatkist van het bedrijf. Gebruikersfondsen, zei hij, zijn 100% veilig.
Desalniettemin is de stortingsfunctie van Orion gesloten en zal deze niet opnieuw worden geopend totdat de bug is gepatcht en de juiste audits hebben plaatsgevonden.
De DeFi-honingpot
Geld gestolen via DeFi-hacks groeit in de loop van de tijd: in 2022 werd $ 3.8 miljard gestolen, met $ 1.7 miljard aan crypto ingenomen alleen door Noord-Koreaanse hackers.
Veel van dat geld is ingenomen door de Noord-Koreaanse Lazarus Group verdacht om de Harmony bridge-hack van $ 100 miljoen in juni uit te voeren.
Enkele van de meest lucratieve doelen voor crypto-hacks zijn blockchain-bruggen - waar cryptocurrencies die hun getokeniseerde varianten ondersteunen die op andere blockchains circuleren, worden opgeslagen.
In oktober werd Binance Smart Chain (BSC) gepauzeerd door validators nadat een hacker 2 miljoen BNB (destijds $ 600 miljoen waard) uit het niets had geslagen door de blockchain-brug te exploiteren. Een groot deel van de BNB was snel weggejaagd naar andere ketens in de nasleep.
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/