Orion Protocol——CeFi 和 DeFi 交易所的流动性聚合器——周四发现其核心合约在其以太坊和币安智能链 (BSC) 部署中遭到黑客攻击。
黑客净赚了 1700 多个 ETH,截至撰写本文时累计价值超过 3 万美元。
另一个重入黑客
As 解释 区块链安全公司 PeckShield 在 Twitter 上表示,周四的黑客攻击“由于不完整的重入保护”成为可能。 重入漏洞是指攻击者可以从智能合约中重复免费提取资金。
PeckShield 详细阐述了 swapThroughOrionPool 函数允许任何拥有精心制作的代币的人劫持他们的转移以重新进入存款资产函数。 这使用户可以在没有任何实际资金成本的情况下增加余额。
在这种情况下,黑客使用了一个名为 ATK 的新构建的代币和一个自毁智能合约来操纵 Orion 的矿池。
4/ 黑客攻击首先在 BSC 上开始,初始资金为 0.4 BNB 来自 @龙卷风现金. ETH 黑客从中提取初始资金 0.4 ETH @SimpleSwap_io. 破解后,收益1100 ETH存入 @龙卷风现金 而另外657个ETH则留在了黑客的账户中: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc.(@peckshield) 2023 年 2 月 3 日
Orion 首席执行官 Alexey Koloskov 发表了一份 绪 在漏洞发生后不久解释漏洞。
“我们有理由相信,这个问题不是由于我们的核心协议代码存在任何缺陷造成的,而可能是由我们的实验性和私人经纪人使用的智能合约中混合第三方库的漏洞造成的,“ 他说。
Koloskov 指出,被利用的合约对公众来说并不重要,但主要被公司财务部门的一名实验性经纪人使用。 他说,用户资金是 100% 安全的。
尽管如此,Orion 的存款功能已经关闭,并且在修复错误并进行适当的审核之前不会重新开放。
DeFi 蜜罐
随着时间的推移,通过 DeFi 黑客窃取的资金越来越多:2022 年,有 3.8 亿美元被盗,其中 1.7 亿美元是加密货币 拍摄 仅由朝鲜黑客所为。
大部分钱都被朝鲜拉撒路集团拿走了,这是 怀疑 在 100 月执行了价值 XNUMX 亿美元的 Harmony 桥黑客攻击。
一些最有利可图的加密黑客攻击目标是区块链桥——支持其在其他区块链上流通的代币化变体的加密货币被存储在那里。
2 月,在黑客利用区块链桥凭空铸造了 600 万枚 BNB(当时价值 XNUMX 亿美元)后,币安智能链 (BSC) 被验证者暂停。 大部分 BNB 很快就被 迅速离开 之后的其他连锁店。
来源:https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/