Orion Protocol-ը՝ իրացվելիության ագրեգատոր ինչպես CeFi-ի, այնպես էլ DeFi-ի բորսաների համար, տեսավ, որ իր հիմնական պայմանագիրը կոտրվել է հինգշաբթի օրը իր Ethereum-ի և Binance Smart Chains-ի (BSC) տեղակայումների վրա:
Հաքերը հավաքել է ավելի քան 1700 ETH, որը հավաքագրման պահին կազմում է ավելի քան 3 միլիոն դոլար:
Մեկ այլ Reentrancy Hack
As բացատրել Թվիթերում PeckShield-ի բլոկչեյն անվտանգության ընկերության կողմից հինգշաբթի օրվա հաքերային հարձակումը հնարավոր է դարձել «վերագրանցման թերի պաշտպանության պատճառով»: Վերագրանցման սխալը վերաբերում է այն դեպքերին, երբ հարձակվողը կարող է մի քանի անգամ գումար հանել խելացի պայմանագրից առանց որևէ գնի:
PeckShield-ը մանրամասնել է, որ swapThroughOrionPool ֆունկցիան թույլ է տալիս բոլորին, ովքեր ունեն մշակված ժետոններ, առևանգել իրենց փոխանցումը և նորից մուտք գործել ավանդի ակտիվի գործառույթ: Սա թույլ է տալիս օգտվողներին մեծացնել իրենց հաշվեկշիռը առանց միջոցների իրական ծախսերի:
Այս դեպքում հաքերն օգտագործել է նոր կառուցված նշան, որը կոչվում է ATK, և ինքնաոչնչացող խելացի պայմանագիր՝ Orion-ի լողավազանները շահարկելու համար:
4/ Հակումը սկսվում է նախ BSC-ի վրա՝ սկզբնական ֆոնդով 0.4 BNB-ից @ TornadoCash. ETH հաքերից նախնական ֆոնդը 0.4 ETH է @SimpleSwap_io. Հաքերից հետո 1100 ETH շահույթը պահվում է @ TornadoCash և այլ 657 ETH մնում է հաքերի հաշվում. https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Փետրվարի 3, 2023
Orion-ի գործադիր տնօրեն Ալեքսեյ Կոլոսկովը հրապարակել է ա թեմա բացատրելով շահագործումը տեղի ունենալուց անմիջապես հետո:
«Մենք հիմքեր ունենք ենթադրելու, որ խնդիրը մեր հիմնական արձանագրության կոդի որևէ թերության հետևանք չէ, այլ կարող է առաջացած լինել մեր փորձարարական և մասնավոր բրոքերների կողմից օգտագործվող խելացի պայմանագրերից մեկում երրորդ կողմի գրադարանների խառնման խոցելիության պատճառով: ," նա ասաց.
Կոլոսկովը նշել է, որ շահագործվող պայմանագիրը հանրության համար մեծ նշանակություն չի ունեցել, այլ հիմնականում օգտագործվել է ընկերության գանձապետարանի իր փորձարարական բրոքերներից մեկի կողմից։ Օգտատերերի միջոցները, նրա խոսքով, 100%-ով ապահով են:
Այնուամենայնիվ, Orion's Deposit ֆունկցիան փակվել է և չի վերաբացվի այնքան ժամանակ, քանի դեռ սխալը չի կարկատվել և պատշաճ ստուգումներ տեղի չունենան:
DeFi Honeypot
DeFi հաքերների միջոցով գողացված գումարները ժամանակի ընթացքում աճում են. 2022 թվականին գողացվել է 3.8 միլիարդ դոլար, իսկ կրիպտո 1.7 միլիարդ դոլարը: վերցրել միայն հյուսիսկորեացի հաքերների կողմից:
Այդ գումարի մեծ մասը վերցրել է հյուսիսկորեական Lazarus Group-ը, որը կասկածում հունիսին իրականացրել 100 միլիոն դոլար արժողությամբ Harmony կամուրջի կոտրումը։
Կրիպտո հաքերների համար ամենաեկամտաբեր թիրախներից մի քանիսը եղել են բլոկչեյն կամուրջները, որտեղ պահվում են կրիպտոարժույթները, որոնք աջակցում են այլ բլոկչեյններում շրջանառվող իրենց խորհրդանշական տարբերակներին:
Հոկտեմբերին Binance Smart Chain-ը (BSC) դադարեցվել էր վավերացնողների կողմից այն բանից հետո, երբ հաքերը 2 միլիոն BNB (այն ժամանակ 600 միլիոն դոլար արժողությամբ) օդից հանեց՝ օգտագործելով բլոկչեյն կամուրջը: BNB-ի մեծ մասը արագ էր թափահարված այլ շղթաների հետ կապված:
Binance անվճար $100 (բացառիկ). Օգտագործեք այս հղումը գրանցվել և ստանալ $100 անվճար և 10% զեղչ վճարներ Binance Futures-ի առաջին ամսվա համար (Պայմաններ).
PrimeXBT Հատուկ առաջարկ: Օգտագործեք այս հղումը գրանցվելու համար և մուտքագրեք POTATO50 կոդը՝ ձեր ավանդների վրա մինչև $7,000 ստանալու համար:
Աղբյուր՝ https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/