Gwelodd Orion Protocol - cydgrynwr hylifedd ar gyfer cyfnewidfeydd CeFi a DeFi - ei gontract craidd yn cael ei hacio ddydd Iau ar draws ei leoliadau Ethereum a Binance Smart Chains (BSC).
Rhwydodd yr haciwr dros 1700 ETH, gyda'i gilydd werth dros $3 miliwn ar amser ysgrifennu.
Hac Reentrancy arall
As esbonio gan y cwmni diogelwch blockchain PeckShield ar Twitter, gwnaed darnia dydd Iau yn bosibl “oherwydd amddiffyniad reentrancy anghyflawn.” Mae nam dychwelyd yn cyfeirio at pryd y gall ymosodwr dynnu arian yn ôl dro ar ôl tro o gontract smart heb unrhyw gost.
Ymhelaethodd PeckShield fod y swyddogaeth swapThroughOrionPool yn caniatáu i unrhyw un sydd â thocynnau crefftus herwgipio eu trosglwyddiad i ailymuno â'r swyddogaeth ased blaendal. Mae hyn yn galluogi defnyddwyr i gynyddu eu balans heb unrhyw gost wirioneddol o arian.
Yn yr achos hwn, defnyddiodd yr haciwr docyn newydd ei adeiladu o'r enw ATK, a chontract smart hunan-ddinistriol, i drin pyllau Orion.
4/ Mae'r hac yn cael ei gychwyn yn gyntaf ar BSC w/ cronfa gychwynnol 0.4 BNB o @TornadoCash. Mae'r darnia ETH yn tynnu cronfa gychwynnol 0.4 ETH o @SimpleSwap_io. Ar ôl darnia, mae'r ennill o 1100 ETH yn cael ei adneuo i mewn @TornadoCash ac mae 657 ETH arall yn aros yng nghyfrif yr haciwr: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Chwefror 3, 2023
Cyhoeddodd Alexey Koloskov, Prif Swyddog Gweithredol Orion, a edau esbonio'r camfanteisio yn fuan ar ôl iddo ddigwydd.
“Mae gennym resymau i gredu nad oedd y mater yn ganlyniad i unrhyw ddiffygion yn ein cod protocol craidd, ond yn hytrach efallai ei fod wedi’i achosi gan fregusrwydd wrth gymysgu llyfrgelloedd trydydd parti yn un o’r contractau smart a ddefnyddir gan ein broceriaid arbrofol a phreifat. ," dwedodd ef.
Nododd Koloskov nad oedd y contract a ecsbloetiwyd o bwys mawr i'r cyhoedd, ond ei fod yn cael ei ddefnyddio'n bennaf gan un o'i froceriaid arbrofol gyda thrysorlys y cwmni. Mae cronfeydd defnyddwyr, meddai, 100% yn ddiogel.
Serch hynny, mae swyddogaeth Orion's Deposit wedi'i chau, ac ni fydd yn cael ei hailagor nes bod y byg wedi'i glytio a bod archwiliadau priodol wedi'u cynnal.
Pot Mêl DeFi
Mae arian sy'n cael ei ddwyn trwy haciau DeFi yn tyfu dros amser: Yn 2022, cafodd $ 3.8 biliwn ei ddwyn, gyda $ 1.7 biliwn mewn crypto cymryd gan hacwyr Gogledd Corea yn unig.
Cymerwyd llawer o'r arian hwnnw gan Grŵp Lazarus Gogledd Corea, hynny yw amheuir i fod wedi gweithredu'r darnia pont Harmony gwerth $100 miliwn ym mis Mehefin.
Mae rhai o'r targedau mwyaf proffidiol ar gyfer haciau crypto wedi bod yn bontydd blockchain - lle mae arian cyfred digidol sy'n cefnogi eu hamrywiadau symbolaidd sy'n cylchredeg ar gadwyni bloc eraill yn cael eu storio.
Ym mis Hydref, cafodd Binance Smart Chain (BSC) ei seibio gan ddilyswyr ar ôl i haciwr bathu 2 filiwn BNB (gwerth $600 miliwn ar y pryd) allan o aer tenau trwy fanteisio ar y bont blockchain. Roedd llawer o'r BNB yn gyflym chwisgo i ffwrdd i gadwynau eraill yn y canlyn.
Binance Am Ddim $ 100 (Unigryw): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (termau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/