פרוטוקול אוריון - אגרגטור נזילות לבורסות CeFi ו-DeFi - ראה את חוזה הליבה שלו נפרץ ביום חמישי בכל הפריסות Ethereum ו-Binance Smart Chains (BSC).
ההאקר השיג יותר מ-1700 ETH, בשווי מצטבר של למעלה מ-3 מיליון דולר בזמן הכתיבה.
עוד פריצה ל-Reentrancy
As מוסבר על ידי חברת האבטחה הבלוקצ'יין PeckShield בטוויטר, הפריצה של יום חמישי התאפשרה "בשל הגנת כניסה חוזרת לא מלאה". באג של כניסה חוזרת מתייחס למצב שבו תוקף עלול למשוך כספים שוב ושוב מחוזה חכם ללא עלות.
PeckShield פירט שפונקציית swapThroughOrionPool מאפשרת לכל מי שיש לו אסימונים מוכנים לחטוף את ההעברה שלו כדי להיכנס מחדש לפונקציית נכס ההפקדה. זה מאפשר למשתמשים להגדיל את היתרה שלהם ללא כל עלות בפועל של כספים.
במקרה זה, ההאקר השתמש באסימון חדש שנבנה בשם ATK, ובחוזה חכם שמשמיד את עצמו, כדי לתפעל את הבריכות של אוריון.
4/ הפריצה מתחילה תחילה ב-BSC עם קרן ראשונית 0.4 BNB מ @TornadoCash. הפריצה של ETH שואבת קרן ראשונית של 0.4 ETH @SimpleSwap_io. לאחר פריצה, הרווח של 1100 ETH מופקד לתוך @TornadoCash ועוד 657 ETH נשארים בחשבון של ההאקר: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) פברואר 3, 2023
אלכסיי קולוסקוב, מנכ"ל אוריון, פרסם א חוט מסביר את הניצול זמן קצר לאחר שהתרחש.
"יש לנו סיבות להאמין שהבעיה לא הייתה תוצאה של ליקויים כלשהם בקוד פרוטוקול הליבה שלנו, אלא אולי נגרמה מפגיעות בערבוב ספריות של צד שלישי באחד החוזים החכמים המשמשים את הברוקרים הניסיוניים והפרטיים שלנו. ," הוא אמר.
קולוסקוב ציין כי החוזה המנוצל לא היה בעל חשיבות גדולה לציבור, אלא שימש בעיקר אחד מהברוקרים הניסיוניים שלו עם אוצר החברה. כספי המשתמשים, הוא אמר, בטוחים ב-100%.
עם זאת, פונקציית ההפקדה של אוריון נסגרה, ולא תיפתח מחדש עד שהבאג יתוקן וביקורות מתאימות יתקיימו.
ה-DeFi Honeypot
כסף שנגנב באמצעות פריצות ל-DeFi גדל עם הזמן: בשנת 2022 נגנבו 3.8 מיליארד דולר, עם 1.7 מיליארד דולר בקריפטו משימות על ידי האקרים צפון קוריאנים בלבד.
חלק גדול מהכסף הזה נלקח על ידי קבוצת לזרוס הצפון קוריאנית, כלומר חשד שביצע את פריצת הגשר של Harmony בסך 100 מיליון דולר ביוני.
כמה מהמטרות הרווחיות ביותר לפריצות קריפטו היו גשרי בלוקצ'יין - שם מאוחסנים מטבעות קריפטוגרפיים המגבים את הווריאציות האסימוניות שלהם שמסתובבות ב-blockchains אחרים.
באוקטובר, Binance Smart Chain (BSC) הושהתה על ידי מאמתים לאחר שהאקר טבע 2 מיליון BNB (בשווי 600 מיליון דולר באותה תקופה) יש מאין על ידי ניצול גשר הבלוקצ'יין. חלק גדול מה-BNB היה במהירות הושט משם לשרשראות אחרות לאחר מכן.
Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).
מבצע מיוחד של PrimeXBT: השתמש בקישור זה כדי להירשם ולהזין את קוד POTATO50 כדי לקבל עד $7,000 על ההפקדות שלך.
מקור: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/