Giao thức Orion — một công cụ tổng hợp thanh khoản cho các sàn giao dịch CeFi và DeFi — đã phát hiện ra vào thứ Năm rằng các hợp đồng cốt lõi của nó đã bị tấn công trong quá trình triển khai Chuỗi thông minh Ethereum và Binance (BSC).
Tin tặc đã kiếm được hơn 1.700 ETH, giá trị tích lũy hơn 3 triệu đô la tính đến thời điểm viết bài này.
một bản hack reentrancy khác
BẰNG giải thích Công ty bảo mật chuỗi khối PeckShield cho biết trên Twitter rằng vụ hack hôm thứ Năm đã có thể xảy ra “do bảo vệ truy cập lại không đầy đủ”. Lỗ hổng reentrancy là khi kẻ tấn công có thể liên tục rút tiền từ hợp đồng thông minh miễn phí.
PeckShield nêu chi tiết rằng chức năng swapThroughOrionPool cho phép bất kỳ ai có mã thông báo được tạo thủ công chiếm quyền chuyển tiền của họ để nhập lại chức năng tài sản ký gửi. Điều này cho phép người dùng tăng số dư của họ mà không phải trả bất kỳ chi phí vốn thực nào.
Trong trường hợp này, tin tặc đã sử dụng mã thông báo mới được tạo có tên là ATK và hợp đồng thông minh tự hủy để thao túng nhóm khai thác của Orion.
4/ Việc hack lần đầu tiên bắt đầu trên BSC với số vốn ban đầu là 0,4 BNB từ @TornadoCashHacker .ETH rút số tiền ban đầu 0,4 ETH từ @SimpleSwap_io. Sau khi bẻ khóa, thu nhập 1100 ETH sẽ được ký gửi @TornadoCash 657 ETH khác vẫn còn trong tài khoản của tin tặc: pic.twitter.com/lRj9HGEgQc
– PeckShield Inc. (@peckshield) Ngày 3 tháng 2 năm 2023
Giám đốc điều hành Orion Alexey Koloskov đã xuất bản một Dây điện Giải thích lỗ hổng ngay sau khi nó xảy ra.
“Chúng tôi có lý do để tin rằng vấn đề này không phải do bất kỳ lỗ hổng nào trong mã giao thức cốt lõi của chúng tôi, mà có thể do lỗi trong thư viện hỗn hợp của bên thứ ba trong các hợp đồng thông minh được sử dụng bởi các nhà môi giới tư nhân và thử nghiệm của chúng tôi,” ông nói .
Koloskov lưu ý rằng hợp đồng khai thác không quan trọng đối với công chúng, nhưng chủ yếu được sử dụng bởi một nhà môi giới thử nghiệm trong bộ phận tài chính của công ty. Tiền của người dùng được an toàn 100%, ông nói.
Mặc dù vậy, chức năng gửi tiền của Orion đã bị đóng và sẽ không mở lại cho đến khi lỗi được khắc phục và quá trình xem xét thích hợp diễn ra.
Hũ mật ong DeFi
Theo thời gian, ngày càng có nhiều tiền bị đánh cắp thông qua các vụ hack DeFi: Vào năm 2022, 3,8 tỷ đô la sẽ bị đánh cắp, 1,7 tỷ đô la trong số đó sẽ là tiền điện tử lấy Chỉ bởi tin tặc Bắc Triều Tiên.
Hầu hết số tiền đã được lấy bởi Tập đoàn Lazarus của Bắc Triều Tiên, đó là Nghi ngờ Vụ hack cầu Harmony trị giá 100 triệu USD được thực hiện vào tháng 6.
Một số mục tiêu hack tiền điện tử sinh lợi nhất là các cầu nối chuỗi khối — nơi lưu trữ các loại tiền điện tử hỗ trợ các biến thể token hóa lưu thông của chúng trên các chuỗi khối khác.
Vào tháng 10, Binance Smart Chain (BSC) đã bị đình chỉ bởi các trình xác thực sau khi tin tặc sử dụng cầu nối chuỗi khối để đúc 2 triệu BNB (trị giá 600 triệu đô la vào thời điểm đó) ngoài luồng.Hầu hết BNB đã nhanh chóng rời khỏi đây nhanh Các chuỗi khác sau đó.
