Orion Protocol – một công cụ tổng hợp thanh khoản cho cả sàn giao dịch CeFi và DeFi – đã chứng kiến hợp đồng cốt lõi của nó bị hack vào thứ Năm trên cả quá trình triển khai Ethereum và Binance Smart Chains (BSC).
Tin tặc đã kiếm được hơn 1700 ETH, tổng trị giá hơn 3 triệu USD tại thời điểm viết bài.
Một vụ hack Reentrancy khác
Theo giải thích của công ty bảo mật blockchain PeckShield trên Twitter, vụ hack hôm thứ Năm đã có thể xảy ra “do khả năng bảo vệ tái đăng nhập không đầy đủ”. Lỗi quay lại đề cập đến khi kẻ tấn công có thể rút tiền liên tục từ hợp đồng thông minh mà không mất phí.
PeckShield giải thích thêm rằng chức năng swapThroughOrionPool cho phép bất kỳ ai có mã thông báo được chế tạo chiếm quyền điều khiển chuyển khoản của họ để nhập lại chức năng tài sản tiền gửi. Điều này cho phép người dùng tăng số dư của mình mà không phải chịu bất kỳ chi phí thực tế nào về vốn.
Trong trường hợp này, hacker đã sử dụng một token mới được xây dựng có tên ATK và một hợp đồng thông minh tự hủy để thao túng các nhóm của Orion.
4/ Vụ hack được bắt đầu đầu tiên trên BSC với số tiền ban đầu là 0,4 BNB từ @TornadoCash. Vụ hack ETH rút được số tiền ban đầu là 0,4 ETH từ @SimpleSwap_io. Sau khi hack, 1100 ETH kiếm được sẽ được gửi vào @TornadoCash và 657 ETH khác vẫn nằm trong tài khoản của hacker: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Ngày 3 tháng 2 năm 2023
Alexey Koloskov, Giám đốc điều hành của Orion, đã xuất bản một chủ đề giải thích việc khai thác ngay sau khi nó xảy ra.
“Chúng tôi có lý do để tin rằng vấn đề này không phải do bất kỳ thiếu sót nào trong mã giao thức cốt lõi của chúng tôi mà có thể là do lỗ hổng trong việc trộn các thư viện của bên thứ ba vào một trong các hợp đồng thông minh được các nhà môi giới tư nhân và thử nghiệm của chúng tôi sử dụng. anh ấy nói.
Koloskov lưu ý rằng hợp đồng khai thác không có giá trị quan trọng đối với công chúng mà chủ yếu được sử dụng bởi một trong những nhà môi giới thử nghiệm của nó với kho bạc công ty. Ông cho biết tiền của người dùng an toàn 100%.
Tuy nhiên, chức năng Gửi tiền của Orion đã bị đóng và sẽ không được mở lại cho đến khi lỗi được vá và quá trình kiểm tra thích hợp được thực hiện.
Hầm mật ong DeFi
Số tiền bị đánh cắp thông qua các vụ hack DeFi ngày càng tăng theo thời gian: Vào năm 2022, 3,8 tỷ USD đã bị đánh cắp, trong đó riêng 1,7 tỷ USD tiền điện tử chỉ bị hacker Triều Tiên lấy đi.
Phần lớn số tiền đó đã bị Tập đoàn Lazarus của Triều Tiên lấy đi, nhóm bị nghi ngờ đã thực hiện vụ hack cầu Harmony trị giá 100 triệu USD vào tháng 6.
Một số mục tiêu sinh lợi nhất của các vụ hack tiền điện tử là cầu nối blockchain – nơi lưu trữ tiền điện tử hỗ trợ các biến thể mã thông báo lưu hành trên các chuỗi khối khác.
Vào tháng 10, Binance Smart Chain (BSC) đã bị các nhà xác thực tạm dừng sau khi một hacker đột ngột đào được 2 triệu BNB (trị giá 600 triệu USD vào thời điểm đó) bằng cách khai thác cầu nối blockchain. Phần lớn BNB sau đó đã nhanh chóng được chuyển sang các chuỗi khác.
Bài đăng Giao thức Orion bị tấn công với giá 3 triệu đô la thông qua cuộc tấn công Reentrancy xuất hiện đầu tiên trên CryptoPotato.
