Orion Protocol——CeFi 和 DeFi 交易所的流動性聚合器——週四發現其核心合約在其以太坊和幣安智能鏈 (BSC) 部署中遭到黑客攻擊。
黑客淨賺了 1700 多個 ETH,截至撰寫本文時累計價值超過 3 萬美元。
另一個重入黑客
As 解釋 區塊鏈安全公司 PeckShield 在 Twitter 上表示,週四的黑客攻擊“由於不完整的重入保護”成為可能。 重入漏洞是指攻擊者可以從智能合約中重複免費提取資金。
PeckShield 詳細闡述了 swapThroughOrionPool 函數允許任何擁有精心製作的代幣的人劫持他們的轉移以重新進入存款資產函數。 這使用戶可以在沒有任何實際資金成本的情況下增加餘額。
在這種情況下,黑客使用了一個名為 ATK 的新構建的代幣和一個自毀智能合約來操縱 Orion 的礦池。
4/ 黑客攻擊首先在 BSC 上開始,初始資金為 0.4 BNB 來自 @龍捲風現金. ETH 黑客從中提取初始資金 0.4 ETH @SimpleSwap_io. 破解後,收益1100 ETH存入 @龍捲風現金 而另外657個ETH則留在了黑客的賬戶中: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
— PeckShield Inc.(@peckshield) 2023 年 2 月 3 日
Orion 首席執行官 Alexey Koloskov 發表了一份 緒 在漏洞發生後不久解釋漏洞。
“我們有理由相信,這個問題不是由於我們的核心協議代碼存在任何缺陷造成的,而可能是由我們的實驗性和私人經紀人使用的智能合約中混合第三方庫的漏洞造成的,“ 他說。
Koloskov 指出,被利用的合約對公眾來說並不重要,但主要被公司財務部門的一名實驗性經紀人使用。 他說,用戶資金是 100% 安全的。
儘管如此,Orion 的存款功能已經關閉,並且在修復錯誤並進行適當的審核之前不會重新開放。
DeFi 蜜罐
隨著時間的推移,通過 DeFi 黑客竊取的資金越來越多:2022 年,有 3.8 億美元被盜,其中 1.7 億美元是加密貨幣 拍攝 僅由朝鮮黑客所為。
大部分錢都被朝鮮拉撒路集團拿走了,這是 懷疑 在 100 月執行了價值 XNUMX 億美元的 Harmony 橋黑客攻擊。
一些最有利可圖的加密黑客攻擊目標是區塊鏈橋——支持其在其他區塊鏈上流通的代幣化變體的加密貨幣被存儲在那裡。
2 月,在一名黑客利用區塊鏈橋憑空鑄造了 600 萬枚 BNB(當時價值 XNUMX 億美元)後,幣安智能鏈 (BSC) 被驗證者暫停。 大部分 BNB 很快就被 迅速離開 之後的其他連鎖店。
來源:https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/