Orion Protocol – agregator likuiditas untuk pertukaran CeFi dan DeFi – melihat kontrak intinya diretas pada hari Kamis di seluruh penerapan Ethereum dan Binance Smart Chains (BSC).
Peretas menjaring lebih dari 1700 ETH, secara kumulatif bernilai lebih dari $3 juta pada saat penulisan.
Another Reentrancy Hack
Seperti yang dijelaskan oleh perusahaan keamanan blockchain PeckShield di Twitter, peretasan hari Kamis dimungkinkan “karena perlindungan reentrancy yang tidak lengkap.” Bug reentrancy mengacu pada saat penyerang dapat menarik dana berulang kali dari smart contract tanpa biaya.
PeckShield menjelaskan bahwa fungsi swapThroughOrionPool memungkinkan siapa saja yang memiliki token buatan untuk membajak transfer mereka untuk masuk kembali ke fungsi aset deposit. Ini memungkinkan pengguna meningkatkan saldo mereka tanpa biaya dana yang sebenarnya.
Dalam kasus ini, peretas menggunakan token yang baru dibuat yang disebut ATK, dan kontrak pintar yang merusak diri sendiri, untuk memanipulasi kumpulan Orion.
4/ Peretasan dimulai pertama kali di BSC dengan dana awal 0,4 BNB dari @TornadoCash. Peretasan ETH menarik dana awal 0,4 ETH dari @SimpleSwap_io. Setelah diretas, perolehan 1100 ETH disimpan ke @TornadoCash dan 657 ETH lainnya tetap berada di akun peretas: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
— PeckShield Inc. (@peckshield) 3 Februari 2023
Alexey Koloskov, CEO Orion, menerbitkan utas yang menjelaskan eksploit tersebut tidak lama setelah itu terjadi.
“Kami memiliki alasan untuk percaya bahwa masalah ini bukan akibat dari kekurangan apa pun dalam kode protokol inti kami, tetapi mungkin disebabkan oleh kerentanan dalam menggabungkan perpustakaan pihak ketiga di salah satu kontrak cerdas yang digunakan oleh eksperimental dan pribadi kami broker,” katanya.
Koloskov mencatat bahwa kontrak yang dieksploitasi bukanlah hal yang penting bagi publik, tetapi terutama digunakan oleh salah satu broker eksperimentalnya dengan perbendaharaan perusahaan. Dana pengguna, katanya, 100% aman.
Namun demikian, fungsi Deposit Orion telah ditutup, dan tidak akan dibuka kembali hingga bug diperbaiki dan audit yang tepat telah dilakukan.
DeFi Honeypot
Uang yang dicuri melalui peretasan DeFi tumbuh seiring waktu: Pada tahun 2022, $3,8 miliar dicuri, dengan $1,7 miliar dalam kripto diambil oleh peretas Korea Utara saja.
Sebagian besar uang itu diambil oleh Grup Lazarus Korea Utara, yang diduga telah mengeksekusi peretasan jembatan Harmony senilai $100 juta pada bulan Juni.
Beberapa target peretasan crypto yang paling menguntungkan adalah jembatan blockchain – tempat cryptocurrency yang mendukung varian token mereka yang beredar di blockchain lain disimpan.
Pada bulan Oktober, Binance Smart Chain (BSC) dihentikan sementara oleh validator setelah seorang peretas mencetak 2 Juta BNB (senilai $600 juta pada saat itu) keluar dari udara tipis dengan mengeksploitasi jembatan blockchain. Sebagian besar BNB dengan cepat dibawa pergi ke rantai lain setelahnya.
Artikel ini disadur dari cryptopotato.com sebagai kliping berita saja. Trading dan Investasi Crypto adalah hal yang beresiko, silakan baca himbauan BAPPEBTI, OJK, Kementrian Keuangan dan Bank Indonesia. Kami bukan pakar keuangan, pakar blockchain, ataupun pakar trading. Kerugian dan kealpaan karena penyalahgunaan artikel ini, adalah tanggungjawab anda sendiri.
