Orion Protocol, un agregador de liquidez para los intercambios CeFi y DeFi, vio su contrato principal pirateado el jueves en sus implementaciones de Ethereum y Binance Smart Chains (BSC).
El pirata informático obtuvo más de 1700 ETH, con un valor acumulado de más de $ 3 millones al momento de escribir.
Otro truco de reentrada
As explicado por la empresa de seguridad blockchain PeckShield en Twitter, el hackeo del jueves fue posible "debido a una protección de reingreso incompleta". Un error de reingreso se refiere a cuando un atacante puede retirar fondos repetidamente de un contrato inteligente sin costo alguno.
PeckShield explicó que la función swapThroughOrionPool permite que cualquier persona con tokens creados secuestre su transferencia para volver a ingresar a la función de depósito de activos. Esto permite a los usuarios aumentar su saldo sin ningún costo real de los fondos.
En este caso, el hacker usó un token recién construido llamado ATK y un contrato inteligente autodestructivo para manipular las piscinas de Orion.
4/ El truco se inicia primero en BSC con un fondo inicial de 0.4 BNB de @TornadoCash. El truco de ETH extrae un fondo inicial de 0.4 ETH de @SimpleSwap_io. Después del hackeo, la ganancia de 1100 ETH se deposita en @TornadoCash y otros 657 ETH se quedan en la cuenta del hacker: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) Febrero 3, 2023
Alexey Koloskov, CEO de Orion, publicó un o fresa de hueso denso explicando el exploit poco después de que ocurriera.
“Tenemos razones para creer que el problema no fue el resultado de ninguna deficiencia en nuestro código de protocolo central, sino que podría haber sido causado por una vulnerabilidad al mezclar bibliotecas de terceros en uno de los contratos inteligentes utilizados por nuestros corredores privados y experimentales. ," él dijo.
Koloskov señaló que el contrato explotado no era de gran importancia para el público, sino que fue utilizado principalmente por uno de sus intermediarios experimentales con la tesorería de la empresa. Los fondos de los usuarios, dijo, son 100% seguros.
Sin embargo, la función de depósito de Orion se cerró y no se volverá a abrir hasta que se corrija el error y se realicen las auditorías adecuadas.
El Honeypot DeFi
El dinero robado a través de hacks de DeFi está creciendo con el tiempo: en 2022, se robaron $ 3.8 mil millones, con $ 1.7 mil millones en criptografía toma solo por piratas informáticos de Corea del Norte.
Gran parte de ese dinero se lo llevó el Grupo Lazarus de Corea del Norte, que es sospecha haber ejecutado el hackeo del puente Harmony de 100 millones de dólares en junio.
Algunos de los objetivos más lucrativos para los hackeos criptográficos han sido los puentes de cadenas de bloques, donde se almacenan las criptomonedas que respaldan sus variantes tokenizadas que circulan en otras cadenas de bloques.
En octubre, los validadores detuvieron Binance Smart Chain (BSC) después de que un pirata informático acuñara 2 millones de BNB (con un valor de $ 600 millones en ese momento) de la nada al explotar el puente blockchain. Gran parte del BNB fue rápidamente batido lejos a otras cadenas después.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/