Hem CeFi hem de DeFi borsaları için bir likidite toplayıcı olan Orion Protokolü, Perşembe günü hem Ethereum hem de Binance Akıllı Zincirler (BSC) dağıtımlarında temel sözleşmesinin saldırıya uğradığını gördü.
Bilgisayar korsanı, bu yazının yazıldığı sırada kümülatif olarak 1700 milyon doların üzerinde değere sahip olan 3'den fazla ETH elde etti.
Başka bir Yeniden Giriş Hack'i
As açıkladı Blockchain güvenlik şirketi PeckShield tarafından Twitter'da Perşembe günkü hackleme "tamamlanmamış yeniden giriş koruması nedeniyle" mümkün oldu. Yeniden giriş hatası, bir saldırganın akıllı sözleşmeden hiçbir ücret ödemeden tekrar tekrar fon çekebilmesi anlamına gelir.
PeckShield, swapThroughOrionPool işlevinin, hazırlanmış tokenlara sahip herkesin, para yatırma varlık işlevine yeniden girmek için transferlerini ele geçirmesine olanak tanıdığını açıkladı. Bu, kullanıcıların herhangi bir gerçek fon maliyeti olmaksızın bakiyelerini artırmalarına olanak tanır.
Bu durumda hacker, Orion'un havuzlarını manipüle etmek için ATK adı verilen yeni oluşturulmuş bir token ve kendi kendini yok eden bir akıllı sözleşme kullandı.
4/ Hack ilk olarak BSC'de 0.4 BNB başlangıç fonuyla başlatıldı. @Hayalhanemersin. The ETH hack draws initial fund 0.4 ETH from @SimpleSwap_io. Hack sonrası 1100 ETH kazancı hesaba yatırılıyor @Hayalhanemersin and other 657 ETH stays in the hacker’s account: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Instagram Profilini Görüntüle Şubat 3, 2023
Orion CEO'su Alexey Koloskov şunları yayınladı: iplik istismarın meydana gelmesinden kısa bir süre sonra açıklanması.
"Sorunun temel protokol kodumuzdaki herhangi bir eksiklikten kaynaklanmadığına, daha ziyade deneysel ve özel komisyoncularımız tarafından kullanılan akıllı sözleşmelerden birinde üçüncü taraf kitaplıkların karıştırılmasındaki bir güvenlik açığından kaynaklanmış olabileceğine inanmak için nedenlerimiz var" dedi.
Koloskov, istismar edilen sözleşmenin kamu açısından büyük bir öneme sahip olmadığını, ancak esas olarak şirket hazinesindeki deneysel komisyonculardan biri tarafından kullanıldığını belirtti. Kullanıcı fonlarının %100 güvenli olduğunu söyledi.
Bununla birlikte, Orion'un Para Yatırma işlevi kapatılmıştır ve hata düzeltilene ve gerekli denetimler yapılana kadar yeniden açılmayacaktır.
DeFi Balküpü
DeFi saldırıları yoluyla çalınan para zamanla artıyor: 2022'de 3.8 milyar doları kripto olmak üzere 1.7 milyar dolar çalındı alınan yalnızca Kuzey Koreli hackerlar tarafından.
Bu paranın büyük bir kısmı Kuzey Koreli Lazarus Grubu tarafından alındı. şüpheli Haziran ayında 100 milyon dolarlık Harmony köprüsü hackini gerçekleştirmiş olduğu söyleniyor.
Kripto korsanlıkları için en kazançlı hedeflerden bazıları, diğer blok zincirlerinde dolaşan tokenleştirilmiş varyantlarını destekleyen kripto para birimlerinin depolandığı blok zincir köprüleri olmuştur.
Ekim ayında, bir bilgisayar korsanının blockchain köprüsünü kullanarak yoktan 2 Milyon BNB (o sırada 600 milyon dolar değerinde) basmasının ardından Binance Smart Chain (BSC), doğrulayıcılar tarafından duraklatılmıştı. BNB'nin büyük kısmı hızlı bir şekilde hızla uzaklaştı sonrasında diğer zincirlere.
Binance Ücretsiz 100$ (Özel): Bu bağlantıyı kullan kayıt olmak ve ilk ay Binance Vadeli İşlemlerinde 100$ ücretsiz ve %10 indirimli ücret almak için (şartlar).
PrimeXBT Özel Teklifi: Bu bağlantıyı kullan Kaydolmak ve depozitolarınızdan 50$'a kadar almak için POTATO7,000 kodunu girmek için.
Source: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/