Orion Protocol – agregator likuiditas untuk pertukaran CeFi dan DeFi – melihat kontrak intinya diretas pada hari Kamis di seluruh penerapan Ethereum dan Binance Smart Chains (BSC).
Peretas menjaring lebih dari 1700 ETH, secara kumulatif bernilai lebih dari $3 juta pada saat penulisan.
Hack Reentrancy Lain
As menjelaskan oleh perusahaan keamanan blockchain PeckShield di Twitter, peretasan hari Kamis dimungkinkan “karena perlindungan reentrancy yang tidak lengkap.” Bug reentrancy mengacu pada saat penyerang dapat menarik dana berulang kali dari smart contract tanpa biaya.
PeckShield menjelaskan bahwa fungsi swapThroughOrionPool memungkinkan siapa saja yang memiliki token buatan untuk membajak transfer mereka untuk masuk kembali ke fungsi aset deposit. Ini memungkinkan pengguna meningkatkan saldo mereka tanpa biaya dana yang sebenarnya.
Dalam kasus ini, peretas menggunakan token yang baru dibuat yang disebut ATK, dan smart contract yang merusak diri sendiri, untuk memanipulasi kumpulan Orion.
4/ Peretasan dimulai pertama kali di BSC dengan dana awal 0.4 BNB dari @Tornado. Peretasan ETH menarik dana awal 0.4 ETH dari @SwapSederhana_io. Setelah diretas, keuntungan 1100 ETH disimpan ke dalam @Tornado dan 657 ETH lainnya tetap berada di akun peretas: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Februari 3, 2023
Alexey Koloskov, CEO Orion, menerbitkan a benang menjelaskan exploit segera setelah itu terjadi.
“Kami memiliki alasan untuk percaya bahwa masalah ini bukan akibat dari kekurangan dalam kode protokol inti kami, tetapi mungkin disebabkan oleh kerentanan dalam menggabungkan perpustakaan pihak ketiga di salah satu kontrak pintar yang digunakan oleh broker eksperimental dan swasta kami. ," dia berkata.
Koloskov mencatat bahwa kontrak yang dieksploitasi bukanlah hal yang penting bagi publik, tetapi terutama digunakan oleh salah satu broker eksperimentalnya dengan perbendaharaan perusahaan. Dana pengguna, katanya, 100% aman.
Namun demikian, fungsi Deposit Orion telah ditutup, dan tidak akan dibuka kembali hingga bug diperbaiki dan audit yang tepat telah dilakukan.
Honeypot DeFi
Uang yang dicuri melalui peretasan DeFi tumbuh dari waktu ke waktu: Pada tahun 2022, $3.8 miliar dicuri, dengan $1.7 miliar dalam crypto diambil oleh peretas Korea Utara saja.
Sebagian besar uang itu diambil oleh Grup Lazarus Korea Utara, yaitu tersangka untuk mengeksekusi peretasan jembatan Harmony senilai $100 juta pada bulan Juni.
Beberapa target yang paling menguntungkan untuk peretasan crypto adalah jembatan blockchain – di mana cryptocurrency yang mendukung varian token mereka yang beredar di blockchain lain disimpan.
Pada bulan Oktober, Binance Smart Chain (BSC) dihentikan sementara oleh validator setelah seorang peretas mencetak 2 Juta BNB (senilai $600 juta pada saat itu) dengan mengeksploitasi jembatan blockchain. Sebagian besar BNB dengan cepat dibawa pergi ke rantai lain setelahnya.
Binance Gratis $100 (Eksklusif): Gunakan link ini untuk mendaftar dan menerima $100 gratis dan 10% off biaya di Binance Futures bulan pertama (istilah).
Penawaran Khusus PrimeXBT: Gunakan link ini untuk mendaftar & memasukkan kode POTATO50 untuk menerima hingga $7,000 pada setoran Anda.
Sumber: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/