- 1,700 以上のイーサリアム、つまり 3 万ドル以上がハッカーによって盗まれました。
- この事例のハッカーは、ATK と呼ばれる新しいトークンを作成することで Orion のプールを操作しました。
木曜日に、の基本的な契約 OrionプロトコルCeFi および DeFi 取引所の流動性アグリゲーターである は、イーサリアムとバイナンス スマート チェーン (BSC) の展開の両方で侵害されました。 1,700 以上のイーサリアム、つまり 3 万ドル以上がハッカーによって盗まれました。
木曜日に、ブロックチェーンセキュリティ会社が説明したように、再入可能保護が不十分なため、侵害は実行可能でした ペックシールド Twitter上で。 再入可能性の問題により、攻撃者は料金を支払うことなく、スマート コントラクトから繰り返しお金を引き出す可能性があります。
PeckShield によると、swapThroughOrionPool メソッドを使用すると、特別に設計されたトークンを持っている人なら誰でも、預金資産機能に再入力してトークンを盗むことができます。 この方法で口座残高を増やすために必要な金銭的支出はありません。
入金機能の一時停止
この事例のハッカーは、ATK と呼ばれる新しいトークンと自己破壊型のスマート コントラクトを作成することで、Orion のプールを操作しました。 オリオンのCEO アレクセイ・コロスコフ 脆弱性が発見された直後に、脆弱性を詳述するスレッドを投稿しました。
悪用された契約が同社の実験的ブローカーの XNUMX 人によって利用されたとしても、Koloskov 氏は、それが公共の重要性をほとんど持たないことを強調しました。 彼は群衆に、彼らのお金が完全に安全であることを保証しました. ただし、Orion の入金機能は閉鎖されており、問題が修正され、適切な監査が実施されるまで再開されません。
盗まれた金額 DeFi 侵害は 2022 年に増加しており、3.8 億ドルが盗まれ、そのうち 1.7 億ドルが仮想通貨で、北朝鮮のハッカーによって犯されました。 100 月に発生した XNUMX 億ドルの Harmony 橋の侵害は、盗まれた資金の大部分を盗んだ北朝鮮の Lazarus Group によって実行されたと広く信じられています。
あなたにおすすめ:
ソース: https://thenewscrypto.com/orion-protocol-exploited-by-hacker-stealing-away-roughly-3-million/