Orion Protocol — агрегатор ликвидности для бирж CeFi и DeFi — в четверг был взломан его основной контракт в развертываниях Ethereum и Binance Smart Chains (BSC).
Хакер заработал более 1700 ETH, что на момент написания статьи стоило более 3 миллионов долларов.
Еще один реентерабельный хак
As объяснены компанией PeckShield, занимающейся безопасностью блокчейнов, в Твиттере взлом в четверг стал возможным «из-за неполной защиты от повторного входа». Ошибка повторного входа означает, что злоумышленник может неоднократно бесплатно выводить средства из смарт-контракта.
PeckShield уточнил, что функция swapThroughOrionPool позволяет любому, у кого есть созданные токены, перехватить их перевод для повторного входа в функцию депозитных активов. Это позволяет пользователям увеличивать свой баланс без каких-либо фактических затрат средств.
В этом случае хакер использовал недавно созданный токен под названием ATK и самоуничтожающийся смарт-контракт для управления пулами Orion.
4/ Взлом начинается сначала на BSC с начальным фондом 0.4 BNB от @TornadoCash. Взлом ETH привлекает начальный капитал в размере 0.4 ETH от @SimpleSwap_io. После взлома прибыль в размере 1100 ETH зачисляется на @TornadoCash а остальные 657 ETH остаются на счету хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
- PeckShield Inc. (@peckshield) 3 февраля 2023
Алексей Колосков, генеральный директор «Орион», опубликовал нить объясняя эксплойт вскоре после того, как он произошел.
«У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а скорее могла быть вызвана уязвимостью при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами. ," он сказал.
Колосков отметил, что использованный контракт не имел большого значения для общественности, а в основном использовался одним из его экспериментальных брокеров с казначейством компании. По его словам, средства пользователей на 100% безопасны.
Тем не менее, функция депозита Orion была закрыта и не будет открыта до тех пор, пока ошибка не будет исправлена и не будут проведены надлежащие проверки.
Приманка DeFi
Деньги, украденные с помощью взломов DeFi, со временем растут: в 2022 году было украдено 3.8 миллиарда долларов, из них 1.7 миллиарда долларов в криптовалюте. приняты только северокорейскими хакерами.
Большую часть этих денег забрала северокорейская Lazarus Group, которая подозреваемый в июне совершил взлом Harmony Bridge стоимостью 100 миллионов долларов.
Некоторыми из наиболее прибыльных целей для крипто-взломов были мосты блокчейнов, где хранятся криптовалюты, поддерживающие их токенизированные варианты, циркулирующие в других блокчейнах.
В октябре Binance Smart Chain (BSC) была приостановлена валидаторами после того, как хакер создал 2 миллиона BNB (на тот момент это стоило 600 миллионов долларов) из воздуха, используя блокчейн-мост. Большая часть BNB была быстро увезли к другим цепям в последствии.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/orion-protocol-hacked-for-3-million-through-reentrancy-attack/