شهد بروتوكول Orion - وهو مجمع سيولة لكل من بورصتي CeFi و DeFi - اختراق عقده الأساسي يوم الخميس عبر عمليات نشر Ethereum و Binance Smart Chains (BSC).
حقق المخترق أكثر من 1700 ETH ، بلغت قيمتها التراكمية أكثر من 3 ملايين دولار في وقت كتابة هذا التقرير.
هاك Reentrancy آخر
As شرح بواسطة شركة أمان blockchain PeckShield على Twitter ، أصبح اختراق يوم الخميس ممكنًا "بسبب الحماية غير المكتملة للعودة". يشير خطأ إعادة الدخول إلى الوقت الذي قد يسحب فيه المهاجم الأموال بشكل متكرر من عقد ذكي دون أي تكلفة.
أوضح PeckShield أن وظيفة swapThroughOrionPool تتيح لأي شخص لديه رموز مميزة اختطاف تحويله لإعادة إدخال وظيفة أصول الإيداع. يتيح ذلك للمستخدمين زيادة رصيدهم دون أي تكلفة فعلية للأموال.
في هذه الحالة ، استخدم المخترق رمزًا تم إنشاؤه حديثًا يسمى ATK ، وعقدًا ذكيًا للتدمير الذاتي ، للتلاعب بمجمعات Orion.
4 / بدأ الاختراق أولاً على BSC مع صندوق أولي 0.4 BNB من TornadoCash. يقوم اختراق ETH بسحب الأموال الأولية من 0.4 ETH من تضمين التغريدة. بعد الاختراق ، يتم إيداع مكاسب 1100 ETH في TornadoCash و 657 ETH الآخرون يظلون في حساب المخترق: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (peckshield) 3 فبراير 2023
نشر Alexey Koloskov ، الرئيس التنفيذي لشركة Orion ، ملف خيط شرح الاستغلال بعد وقت قصير من حدوثه.
"لدينا أسباب للاعتقاد بأن المشكلة لم تكن نتيجة أي أوجه قصور في رمز البروتوكول الأساسي الخاص بنا ، بل ربما كانت ناتجة عن ثغرة أمنية في خلط مكتبات الجهات الخارجية في أحد العقود الذكية التي يستخدمها الوسطاء التجريبيون والخاصون لدينا ،" هو قال.
أشار Koloskov إلى أن العقد الذي تم استغلاله لم يكن ذا أهمية كبيرة للجمهور ، ولكنه استخدم بشكل أساسي من قبل أحد الوسطاء التجريبيين مع خزانة الشركة. وقال إن أموال المستخدمين آمنة بنسبة 100٪.
ومع ذلك ، تم إغلاق وظيفة الإيداع في Orion ، ولن يتم إعادة فتحها حتى يتم تصحيح الخطأ وإجراء عمليات تدقيق مناسبة.
موقع DeFi Honeypot
الأموال المسروقة من خلال اختراق DeFi تتزايد بمرور الوقت: في عام 2022 ، تمت سرقة 3.8 مليار دولار ، مع 1.7 مليار دولار من العملات المشفرة اتخذت بواسطة قراصنة كوريين شماليين فقط.
تم أخذ الكثير من هذه الأموال من قبل مجموعة لازاروس الكورية الشمالية ، وهي يشتبه لتنفيذ عملية اختراق جسر Harmony بقيمة 100 مليون دولار في يونيو.
كانت بعض الأهداف الأكثر ربحًا لاختراق التشفير هي جسور blockchain - حيث يتم تخزين العملات المشفرة التي تدعم متغيراتها الرمزية المتداولة على blockchain الأخرى.
في أكتوبر ، تم إيقاف Binance Smart Chain (BSC) بواسطة المدققين بعد أن قام أحد المتطفلين بسك 2 مليون BNB (بقيمة 600 مليون دولار في ذلك الوقت) من فراغ من خلال استغلال جسر blockchain. كان الكثير من BNB سريعًا خفقت بعيدا إلى سلاسل أخرى في أعقاب ذلك.
Binance Free 100 دولار (حصري): استخدم هذا الرابط للتسجيل والحصول على 100 دولار مجانًا و 10٪ خصم على رسوم Binance Futures الشهر الأول (سياسة الحجب وتقييد الوصول).
عرض PrimeXBT الخاص: استخدم هذا الرابط للتسجيل وإدخال رمز POTATO50 لتلقي ما يصل إلى 7,000 دولار على ودائعك.
المصدر: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/