Orion Protocol - ლიკვიდობის აგრეგატორი ორივე CeFi და DeFi ბირჟებისთვის - ხუთშაბათს გატეხილი იქნა მისი ძირითადი კონტრაქტი Ethereum და Binance Smart Chains (BSC) განლაგებაში.
ჰაკერმა დააგროვა 1700-ზე მეტი ETH, რომელიც კრებულში 3 მილიონ დოლარზე მეტი ღირს წერის დროს.
კიდევ ერთი ხელახალი ჰაკ
As განმარტა ბლოკჩეინის უსაფრთხოების კომპანიის PeckShield-ის მიერ Twitter-ზე, ხუთშაბათის გატეხვა შესაძლებელი გახდა „არასრული ხელახალი დაშვების დაცვის გამო“. ხელახლა შესვლის ხარვეზი გულისხმობს, როდესაც თავდამსხმელს შეუძლია თანხების განმეორებით ამოღება ჭკვიანი კონტრაქტიდან უფასოდ.
PeckShield-მა განმარტა, რომ swapThroughOrionPool ფუნქცია საშუალებას აძლევს ყველას, ვისაც აქვს შექმნილი ტოკენები, გაიტაცეს მათი გადარიცხვა დეპოზიტის აქტივის ფუნქციაში ხელახლა შესვლისთვის. ეს საშუალებას აძლევს მომხმარებლებს გაზარდონ ბალანსი სახსრების რეალური ღირებულების გარეშე.
ამ შემთხვევაში, ჰაკერმა გამოიყენა ახლად აშენებული ჟეტონი სახელად ATK და თვითგანადგურების ჭკვიანი კონტრაქტი ორიონის აუზებით მანიპულირებისთვის.
4/ ჰაკი იწყება ჯერ BSC-ზე საწყისი ფონდიდან 0.4 BNB-დან @ TornadoCash. ETH ჰაკი იღებს საწყის ფონდს 0.4 ETH-დან @SimpleSwap_io. ჰაკის შემდეგ, 1100 ETH-ის მოგება დეპონირებულია @ TornadoCash და სხვა 657 ETH რჩება ჰაკერის ანგარიშში: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) თებერვალი 3, 2023
Orion-ის აღმასრულებელმა დირექტორმა ალექსეი კოლოსკოვმა გამოაქვეყნა ა თემა ახსნა ექსპლოიტის განხორციელებიდან მალევე.
„ჩვენ გვაქვს საფუძველი ვიფიქროთ, რომ პრობლემა არ იყო ჩვენი ძირითადი პროტოკოლის კოდში რაიმე ხარვეზის შედეგი, არამედ შესაძლოა გამოწვეული იყოს დაუცველობით მესამე მხარის ბიბლიოთეკების შერევით ერთ-ერთ ჭკვიან კონტრაქტში, რომელსაც ჩვენი ექსპერიმენტული და კერძო ბროკერები იყენებენ. ," მან თქვა.
კოლოსკოვმა აღნიშნა, რომ ექსპლუატირებული კონტრაქტი არ იყო საზოგადოებისთვის მნიშვნელოვანი იმპორტი, მაგრამ ძირითადად გამოიყენებოდა მისი ერთ-ერთი ექსპერიმენტული ბროკერი კომპანიის ხაზინასთან. მისი თქმით, მომხმარებლის სახსრები 100% უსაფრთხოა.
მიუხედავად ამისა, Orion's Deposit ფუნქცია დაიხურა და ხელახლა არ გაიხსნება მანამ, სანამ შეცდომა არ გასწორდება და არ ჩატარდება სათანადო აუდიტი.
DeFi Honeypot
DeFi-ის ჰაკერების საშუალებით მოპარული ფული დროთა განმავლობაში იზრდება: 2022 წელს მოიპარეს 3.8 მილიარდი დოლარი, 1.7 მილიარდი დოლარი კრიპტოში. მიღებული მხოლოდ ჩრდილოეთ კორეელი ჰაკერების მიერ.
ამ თანხის დიდი ნაწილი აიღო ჩრდილოეთ კორეის Lazarus Group-მა, რომელიც არის ეჭვმიტანილი ივნისში შეასრულა Harmony bridge-ის 100 მილიონი დოლარის გატეხვა.
კრიპტო ჰაკერების ზოგიერთი ყველაზე მომგებიანი სამიზნე იყო ბლოკჩეინის ხიდები – სადაც ინახება კრიპტოვალუტები, რომლებიც მხარს უჭერენ მათ ტოკენიზებულ ვარიანტებს, რომლებიც ცირკულირებენ სხვა ბლოკჩეინებზე.
ოქტომბერში, Binance Smart Chain (BSC) შეჩერდა ვალიდატორების მიერ მას შემდეგ, რაც ჰაკერმა ბლოკჩეინის ხიდის გამოყენებით 2 მილიონი BNB (იმ დროისთვის 600 მილიონი დოლარი ღირდა) ჰაერიდან გამოიყვანა. BNB-ის დიდი ნაწილი სწრაფად იყო მოშორდა შემდგომში სხვა ჯაჭვებზე.
Binance უფასო $100 (ექსკლუზიური): გამოიყენეთ ეს ბმული დარეგისტრირდეთ და მიიღოთ $100 უფასო და 10% ფასდაკლება Binance Futures-ის პირველ თვეში (ტერმინები).
PrimeXBT სპეციალური შეთავაზება: გამოიყენეთ ეს ბმული დარეგისტრირდით და შეიყვანეთ POTATO50 კოდი, რომ მიიღოთ $7,000-მდე თქვენს დეპოზიტებზე.
წყარო: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/