ओरियन प्रोटोकॉल – CeFi और DeFi दोनों एक्सचेंजों के लिए एक लिक्विडिटी एग्रीगेटर – ने गुरुवार को अपने एथेरियम और बिनेंस स्मार्ट चेन्स (BSC) की तैनाती में इसका मुख्य अनुबंध हैक किया।
हैकर ने 1700 ईटीएच से अधिक की कमाई की, लेखन के समय संचयी रूप से $ 3 मिलियन से अधिक मूल्य का।
एक और पुनर्वित्त हैक
As समझाया ब्लॉकचैन सुरक्षा कंपनी पेकशील्ड द्वारा ट्विटर पर, गुरुवार की हैकिंग "अधूरी पुनर्वित्त सुरक्षा के कारण" संभव हो गई थी। रीएन्ट्रेंसी बग तब संदर्भित करता है जब कोई हमलावर बिना किसी लागत के स्मार्ट अनुबंध से बार-बार धन निकाल सकता है।
पेकशील्ड ने विस्तृत रूप से बताया कि स्वैपथ्रू ओरियनपूल फ़ंक्शन किसी को भी तैयार किए गए टोकन के साथ जमा संपत्ति फ़ंक्शन को फिर से दर्ज करने में अपने हस्तांतरण को हाइजैक करने देता है। इससे उपयोगकर्ता बिना किसी वास्तविक लागत के अपनी शेष राशि बढ़ा सकते हैं।
इस मामले में, हैकर ने ओरियन के पूल में हेरफेर करने के लिए एटीके नामक एक नवनिर्मित टोकन और एक स्व-विनाशकारी स्मार्ट अनुबंध का उपयोग किया।
4/ हैक सबसे पहले BSC w/ प्रारंभिक फंड 0.4 BNB पर शुरू किया गया है @ बवंडर. ETH हैक प्रारंभिक फंड 0.4 ETH से निकालता है @SimpleSwap_io. हैक करने के बाद, 1100 ईटीएच का लाभ जमा किया जाता है @ बवंडर और अन्य 657 ईटीएच हैकर के खाते में रहता है: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- पेकशील्ड इंक (@peckshield) फ़रवरी 3, 2023
ओरियन के सीईओ एलेक्सी कोलोस्कोव ने प्रकाशित किया धागा इसके घटित होने के तुरंत बाद ही कारनामे की व्याख्या करना।
"हमारे पास यह मानने के कारण हैं कि समस्या हमारे कोर प्रोटोकॉल कोड में किसी भी कमी का परिणाम नहीं थी, बल्कि हमारे प्रायोगिक और निजी ब्रोकरों द्वारा उपयोग किए जाने वाले स्मार्ट अनुबंधों में से एक में तीसरे पक्ष के पुस्तकालयों को मिलाने में भेद्यता के कारण हो सकती है। ," उन्होंने कहा।
कोलोसकोव ने नोट किया कि शोषित अनुबंध जनता के लिए प्रमुख आयात का नहीं था, लेकिन मुख्य रूप से कंपनी के खजाने के साथ उसके एक प्रायोगिक दलालों द्वारा उपयोग किया गया था। उन्होंने कहा कि यूजर फंड 100% सुरक्षित हैं।
फिर भी, ओरियन के डिपॉजिट फंक्शन को बंद कर दिया गया है, और बग को पैच किए जाने और उचित ऑडिट होने तक इसे फिर से नहीं खोला जाएगा।
डेफी हनीपोट
DeFi हैक के माध्यम से चुराया गया पैसा समय के साथ बढ़ रहा है: 2022 में, क्रिप्टो में $ 3.8 बिलियन के साथ $ 1.7 बिलियन की चोरी हुई लिया अकेले उत्तर कोरियाई हैकर्स द्वारा।
उस धन का अधिकांश भाग उत्तर कोरियाई लाजर समूह द्वारा लिया गया था, जो कि है संदिग्ध जून में $100 मिलियन हार्मनी ब्रिज हैक करने के लिए।
क्रिप्टो हैक्स के लिए कुछ सबसे आकर्षक लक्ष्य ब्लॉकचैन ब्रिज रहे हैं - जहां अन्य ब्लॉकचेन पर प्रसारित होने वाले अपने टोकन वाले वेरिएंट का समर्थन करने वाली क्रिप्टोकरेंसी संग्रहीत हैं।
अक्टूबर में, एक हैकर द्वारा ब्लॉकचैन पुल का दोहन करके पतली हवा से 2 मिलियन बीएनबी (उस समय मूल्य $ 600 मिलियन) के बाद सत्यापनकर्ताओं द्वारा बिनेंस स्मार्ट चेन (बीएससी) को रोक दिया गया था। बीएनबी का अधिकांश हिस्सा जल्दी था दूर चले जाना बाद में अन्य जंजीरों के लिए।
बिनेंस फ्री $ 100 (अनन्य): इस लिंक का उपयोग करें बिनेंस फ्यूचर्स पर पहले महीने रजिस्टर करने और $100 मुफ़्त और 10% की छूट प्राप्त करने के लिए (शर्तों).
प्राइमएक्सबीटी स्पेशल ऑफर: इस लिंक का उपयोग करें अपनी जमा राशि पर $50 तक प्राप्त करने के लिए POTATO7,000 कोड दर्ज करने और दर्ज करने के लिए।
स्रोत: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/