پروتکل Orion - یک جمعآورنده نقدینگی برای صرافیهای CeFi و DeFi - شاهد هک شدن قرارداد اصلی آن در روز پنجشنبه در هر دو استقرار زنجیرههای هوشمند اتریوم و بایننس (BSC) بود.
هکر بیش از 1700 ETH را به دست آورد که در زمان نگارش مجموعاً بیش از 3 میلیون دلار ارزش داشت.
یک هک مجدد ورود مجدد
As توضیح داده شده توسط شرکت امنیتی بلاک چین PeckShield در توییتر، هک روز پنجشنبه "به دلیل محافظت ناقص از ورود مجدد" امکان پذیر شد. اشکال ورود مجدد به زمانی اشاره دارد که مهاجم ممکن است مکرراً وجوه خود را بدون هیچ هزینه ای از یک قرارداد هوشمند برداشت کند.
PeckShield توضیح داد که تابع swapThroughOrionPool به هر کسی که توکنهای دستسازی شده را دارد اجازه میدهد تا انتقال خود را برای ورود مجدد به تابع دارایی سپرده ربوده است. این به کاربران اجازه می دهد تا تعادل خود را بدون هیچ گونه هزینه واقعی وجوهی افزایش دهند.
در این مورد، هکر از یک توکن جدید به نام ATK و یک قرارداد هوشمند خود تخریب کننده برای دستکاری استخرهای Orion استفاده کرد.
4/ هک ابتدا در BSC با سرمایه اولیه 0.4 BNB از شروع می شود TornadoCash. هک ETH از صندوق اولیه 0.4 ETH می گیرد @SimpleSwap_io. پس از هک، سود 1100 ETH در آن واریز می شود TornadoCash و 657 ETH دیگر در حساب هکر باقی می ماند: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- شرکت PeckShield (peckshield) فوریه 3، 2023
الکسی کولوسکوف، مدیر عامل Orion، یک مقاله را منتشر کرد موضوع توضیح اکسپلویت اندکی پس از وقوع.
ما دلایلی داریم که باور کنیم این مشکل در نتیجه هیچ نقصی در کد پروتکل اصلی ما نبوده است، بلکه ممکن است ناشی از آسیبپذیری در اختلاط کتابخانههای شخص ثالث در یکی از قراردادهای هوشمند مورد استفاده کارگزاران تجربی و خصوصی ما باشد. ،" او گفت.
کولوسکوف خاطرنشان کرد که قرارداد بهره برداری شده واردات عمده ای برای مردم نداشت، اما عمدتاً توسط یکی از کارگزاران آزمایشی آن با خزانه شرکت استفاده می شد. او گفت وجوه کاربران 100 درصد امن است.
با این وجود، تابع سپرده Orion بسته شده است و تا زمانی که باگ اصلاح نشود و ممیزی های مناسب انجام نشود، دوباره باز نخواهد شد.
DeFi Honeypot
پول به سرقت رفته از طریق هک DeFi در طول زمان در حال افزایش است: در سال 2022، 3.8 میلیارد دلار، با 1.7 میلیارد دلار ارز دیجیتال به سرقت رفت. صورت گرفته تنها توسط هکرهای کره شمالی
بیشتر این پول توسط گروه لازاروس کره شمالی گرفته شده است مظنون هک 100 میلیون دلاری پل هارمونی را در ماه ژوئن انجام داده است.
برخی از سودآورترین اهداف برای هکهای کریپتو، پلهای بلاک چین بودهاند – جایی که ارزهای رمزنگاریشده پشتیبان انواع توکنشده خود که در سایر بلاکچینها در گردش هستند، ذخیره میشوند.
در ماه اکتبر، پس از اینکه یک هکر با بهره برداری از پل بلاک چین، 2 میلیون BNB (به ارزش 600 میلیون دلار در آن زمان) را استخراج کرد، زنجیره هوشمند بایننس (BSC) توسط اعتبار سنجی ها متوقف شد. بسیاری از BNB به سرعت بود دور زد به زنجیره های دیگر در عواقب بعدی.
100 دلار رایگان بایننس (انحصاری): از این لینک استفاده کنید برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures (قوانین و مقررات).
پیشنهاد ویژه PrimeXBT: از این لینک استفاده کنید برای ثبت نام و وارد کردن کد POTATO50 تا سقف 7,000 دلار در سپرده های خود دریافت کنید.
منبع: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/