Orion Protocol がリエントラント攻撃で 3 万ドルをハッキング

Orion Protocol – CeFi と DeFi 取引所の両方の流動性アグリゲーター – は、木曜日に、イーサリアムとバイナンス スマート チェーン (BSC) 展開の両方でコア コントラクトがハッキングされたのを確認しました。 

ハッカーは 1700 ETH 以上を獲得し、執筆時点で累計 3 万ドル以上の価値があります。 

別の再入可能ハック

As 説明 ブロックチェーン セキュリティ企業の PeckShield がツイッターで、木曜日のハッキングが可能になったのは「再入可能保護が不完全なため」でした。 リエントラント バグとは、攻撃者がスマート コントラクトから無料で繰り返し資金を引き出す可能性があることを指します。 

PeckShield は、swapThroughOrionPool 関数を使用すると、巧妙に細工されたトークンを持っている人なら誰でも送金をハイジャックして、預金資産関数に再入力できるようになると詳しく説明しました。 これにより、ユーザーは実際の資金コストなしで残高を増やすことができます。 

この場合、ハッカーは、ATK と呼ばれる新しく構築されたトークンと自己破壊型のスマート コントラクトを使用して、Orion のプールを操作しました。 

4/ ハッキングは BSC で最初に開始され、初期資金は 0.4 BNB から しゅう. ETH ハックは、初期資金 0.4 ETH を @SimpleSwap_io. ハッキング後、1100 ETH の利益がデポジットされます しゅう その他の 657 ETH はハッカーのアカウントに残ります。 https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc

- PeckShield Inc.（@peckshield） 2023 年 2 月 3 日

Orion の CEO である Alexey Koloskov は、 糸 エクスプロイトが発生した直後に説明します。 

「この問題はコア プロトコル コードの欠陥によるものではなく、実験的およびプライベート ブローカーが使用するスマート コントラクトの XNUMX つにサードパーティ ライブラリを混在させる際の脆弱性が原因である可能性があると考える理由があります。 、" 彼は言った。 

コロスコフ氏は、悪用されたコントラクトは大衆にとって重要なものではなく、主に会社の財務部門を持つ実験的なブローカーの 100 人によって使用されたと指摘しました。 ユーザーの資金は XNUMX% 安全だと彼は言いました。 

それにもかかわらず、Orion の入金機能は閉鎖されており、バグにパッチが当てられ、適切な監査が行われるまで再開されません。 

DeFiハニーポット

DeFi ハッキングによって盗まれたお金は時間の経過とともに増加しています。2022 年には、3.8 億ドルが盗まれ、1.7 億ドルが仮想通貨でした。 撮影 北朝鮮のハッカーだけによるものです。 

そのお金の多くは、北朝鮮のラザルス グループによって盗まれました。 疑わしいです 100 月に XNUMX 億ドルの Harmony ブリッジ ハッキングを実行しました。 

暗号ハッキングの最も有利なターゲットのいくつかは、他のブロックチェーンで流通しているトークン化されたバリアントを裏付ける暗号通貨が保存されているブロックチェーン ブリッジです。

 2 月、ハッカーがブロックチェーン ブリッジを悪用して 600 万 BNB (当時の価値は XNUMX 億ドル) をどこからともなく鋳造した後、バイナンス スマート チェーン (BSC) はバリデーターによって一時停止されました。 BNBの多くはすぐに 吹き飛ばした 余波で他のチェーンに。