Ein weiterer Reentrancy-Bug gerät ins Visier der Hacker – aber keine Nutzer waren dem betroffenen Vertrag ausgesetzt.
Orion Protocol – ein Liquiditätsaggregator für die Börsen CeFi und DeFi – wurde am Donnerstag gehackt, und zwar sowohl bei seinen Ethereum- als auch bei seinen Binance Smart Chains (BSC) Implementierungen.
Der Hacker erbeutete mehr als 1700 ETH, die zum Zeitpunkt der Erstellung dieses Artikels einen Gesamtwert von über 3 Millionen US-Dollar haben.
Ein weiterer Reentrancy Hack
Wie vom Blockchain-Sicherheitsunternehmen PeckShield auf Twitter erklärt, wurde der Hack vom Donnerstag “aufgrund eines unvollständigen Reentrancy-Schutzes” möglich. Von einem Reentrancy-Bug spricht man, wenn ein Angreifer wiederholt kostenlos Geld aus einem Smart Contract abziehen kann.
PeckShield führte aus, dass die Funktion swapThroughOrionPool es jedem ermöglicht, der über manipulierte Token verfügt, deren Transfer in die Funktion deposit asset zu überführen. Auf diese Weise können Benutzer ihr Guthaben erhöhen, ohne dass sie dafür Geld ausgeben müssen.
In diesem Fall verwendete der Hacker einen neu konstruierten Token namens ATK und einen selbstzerstörenden Smart Contract, um die Pools von Orion zu manipulieren.
Alexey Koloskov, CEO von Orion, veröffentlichte einen Thread, in dem er den Exploit kurz nach dessen Auftreten erklärte.
“Wir haben Grund zu der Annahme, dass das Problem nicht auf Mängel in unserem Kernprotokollcode zurückzuführen ist, sondern möglicherweise durch eine Schwachstelle bei der Vermischung von Drittanbieter-Bibliotheken in einem der von unseren experimentellen und privaten Brokern verwendeten Smart Contracts verursacht wurde”, sagte er.
Koloskov merkte an, dass der ausgenutzte Vertrag für die Öffentlichkeit nicht von großer Bedeutung war, sondern hauptsächlich von einem der experimentellen Broker mit der Firmenkasse verwendet wurde. Die Gelder der Nutzer seien zu 100 % sicher, sagte er.
Dennoch wurde die Einzahlungsfunktion von Orion geschlossen und wird erst wieder geöffnet, wenn der Fehler behoben ist und ordnungsgemäße Prüfungen stattgefunden haben.
Der DeFi-Honeypot
Das durch DeFi-Hacks gestohlene Geld wächst mit der Zeit: Im Jahr 2022 wurden 3,8 Milliarden US-Dollar gestohlen, wobei allein 1,7 Milliarden US-Dollar in Kryptowährungen von nordkoreanischen Hackern erbeutet wurden.
Ein Großteil dieses Geldes wurde von der nordkoreanischen Lazarus-Gruppe erbeutet, die verdächtigt wird, den 100 Millionen US-Dollar schweren Harmony-Bridge-Hack im Juni durchgeführt zu haben.
Einige der lukrativsten Ziele für Krypto-Hacks waren Blockchain-Bridges – wo Kryptowährungen, die ihre tokenisierten Varianten unterstützen und auf anderen Blockchains zirkulieren, gespeichert werden.
Im Oktober wurde Binance Smart Chain (BSC) von den Validierern angehalten, nachdem ein Hacker 2 Millionen BNB (damals im Wert von 600 Millionen US-Dollar) aus dem Nichts geprägt hatte, indem er die Blockchain-Bridge ausnutzte. Ein Großteil der BNB wurde in der Folge schnell auf andere Ketten verschoben.
