Orion Protocol – ein Liquiditätsaggregator für CeFi- und DeFi-Börsen – sah am Donnerstag, wie sein Kernvertrag sowohl über seine Ethereum- als auch über seine Binance Smart Chains (BSC)-Bereitstellungen gehackt wurde.
Der Hacker hat über 1700 ETH verrechnet, was zum Zeitpunkt des Schreibens einen Gesamtwert von über 3 Millionen US-Dollar hatte.
Ein weiterer Reentrancy-Hack
As erklärt von der Blockchain-Sicherheitsfirma PeckShield auf Twitter wurde der Hack vom Donnerstag „aufgrund eines unvollständigen Wiedereintrittsschutzes“ ermöglicht. Ein Reentrancy-Bug bezieht sich darauf, wenn ein Angreifer wiederholt kostenlos Gelder aus einem Smart Contract abheben kann.
PeckShield führte aus, dass die SwapThroughOrionPool-Funktion es jedem mit hergestellten Token ermöglicht, seinen Transfer zu hijacken, um wieder in die Einzahlungsfunktion einzutreten. Auf diese Weise können Benutzer ihr Guthaben ohne tatsächliche Kosten für Mittel erhöhen.
In diesem Fall benutzte der Hacker einen neu konstruierten Token namens ATK und einen selbstzerstörenden Smart Contract, um die Pools von Orion zu manipulieren.
4/ Der Hack wird zuerst auf BSC mit einem Anfangskapital von 0.4 BNB gestartet @ TornadoCash. Der ETH-Hack zieht Anfangskapital 0.4 ETH ab @SimpleSwap_io. Nach dem Hack wird der Gewinn von 1100 ETH eingezahlt @ TornadoCash und andere 657 ETH bleiben im Konto des Hackers: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) 3. Februar 2023
Alexey Koloskov, CEO von Orion, veröffentlichte a Faden den Exploit kurz nach seinem Auftreten zu erklären.
„Wir haben Grund zu der Annahme, dass das Problem nicht auf Mängel in unserem Kernprotokollcode zurückzuführen ist, sondern möglicherweise durch eine Schwachstelle beim Mischen von Bibliotheken von Drittanbietern in einem der Smart Contracts verursacht wurde, die von unseren experimentellen und privaten Brokern verwendet werden ," er sagte.
Koloskov bemerkte, dass der ausgebeutete Vertrag für die Öffentlichkeit nicht von großer Bedeutung sei, sondern hauptsächlich von einem seiner experimentellen Makler mit der Firmenkasse verwendet werde. Benutzergelder, sagte er, seien 100% sicher.
Dennoch wurde die Einzahlungsfunktion von Orion geschlossen und wird nicht wieder geöffnet, bis der Fehler gepatcht ist und ordnungsgemäße Audits stattgefunden haben.
Der DeFi-Honeypot
Das durch DeFi-Hacks gestohlene Geld wächst mit der Zeit: Im Jahr 2022 wurden 3.8 Milliarden US-Dollar gestohlen, davon 1.7 Milliarden US-Dollar in Krypto gemacht allein von nordkoreanischen Hackern.
Ein Großteil dieses Geldes wurde von der nordkoreanischen Lazarus-Gruppe eingenommen mutmaßlich im Juni den 100-Millionen-Dollar-Harmony-Bridge-Hack ausgeführt zu haben.
Einige der lukrativsten Ziele für Krypto-Hacks waren Blockchain-Brücken – wo Kryptowährungen gespeichert werden, die ihre tokenisierten Varianten unterstützen, die auf anderen Blockchains zirkulieren.
Im Oktober wurde Binance Smart Chain (BSC) von Validatoren angehalten, nachdem ein Hacker 2 Millionen BNB (damals im Wert von 600 Millionen US-Dollar) aus dem Nichts geprägt hatte, indem er die Blockchain-Brücke ausnutzte. Ein Großteil der BNB war schnell weggefegt zu anderen Ketten in der Folge.
Binance Free $100 (exklusiv): Benutze diesen Link um sich zu registrieren und im ersten Monat $100 gratis und 10% Rabatt auf die Gebühren für Binance Futures zu erhalten (AGB).
PrimeXBT Sonderangebot: Benutze diesen Link um sich zu registrieren und den POTATO50-Code einzugeben, um bis zu $7,000 auf Ihre Einzahlungen zu erhalten.
Quelle: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/