Протоколот Орион експлоатиран од хакер кој украл приближно 3 милиони долари

• Повеќе од 1,700 Ethereum, или повеќе од 3 милиони долари, беа украдени од хакерот.
• Хакерот во овој пример манипулираше со базените на Орион создавајќи нов токен наречен ATK.

Во четвртокот, основниот договор на Протокол Орион, агрегатор на ликвидност за размена на CeFi и DeFi, беше компромитиран и во неговите имплементации на Ethereum и Binance Smart Chains (BSC). Повеќе од 1,700 Ethereum, или повеќе од 3 милиони долари, беа украдени од хакерот.

Во четвртокот, прекршувањето беше изводливо поради недоволната заштита при повторното влегување, како што е опишано од фирмата за безбедност на блокчејн Пек Шилд на Твитер. Со проблем со повторното влегување, напаѓачот може постојано да вади пари од паметен договор без да плати такси.

Според PeckShield, користењето на методот swapThroughOrionPool му овозможува на секој со специјално дизајнирани токени повторно да влезе во функцијата на средствата за депозит и да ги украде токените. Не се потребни парични трошоци за да се зголеми состојбата на сметката на овој начин.

Функцијата за депозит е паузирана 

Хакерот во овој пример манипулираше со базените на Орион создавајќи нов токен наречен ATK и паметен договор што се самоуништува. Извршен директор на Орион Алексеј Колосков објави тема со детали за ранливоста веднаш откако беше откриена.

Дури и ако експлоатираниот договор го користел некој од експерименталните брокери на компанијата, Колосков нагласи дека тој е од мало значење за јавноста. Тој ја увери толпата дека нивните пари се целосно сигурни. Сепак, функцијата Депозит на Орион е исклучена и нема повторно да се отвори додека не се реши проблемот и не се извршат соодветни ревизии.

Износот на пари украден од на определен обем, прекршувањата се во пораст во 2022 година, украдени се 3.8 милијарди долари, од кои 1.7 милијарди долари се во крипто и извршени од севернокорејски хакери. Се верува дека пробивањето на мостот Хармонија од 100 милиони долари во јуни е извршено од севернокорејската групација Лазарус, која украла голем дел од украдените средства.

Препорачано за тебе:

Хакер го искористи протоколот BonqDAO од над 120 милиони долари