Протокол Orion — агрегатор ликвидности для бирж CeFi и DeFi — в четверг столкнулся с тем, что его основной контракт был взломан при развертывании Ethereum и Binance Smart Chains (BSC).

Хакер заработал более 1700 ETH, совокупная стоимость которых на момент написания составила более 3 миллионов долларов.

Еще один хак реентерабельности

Как объяснила компания PeckShield, занимающаяся безопасностью блокчейнов, в Твиттере, взлом в четверг стал возможен «из-за неполной защиты повторного входа». Ошибка повторного входа означает, что злоумышленник может неоднократно бесплатно выводить средства из смарт-контракта.

PeckShield уточнил, что функция swapThroughOrionPool позволяет любому, у кого есть созданные токены, перехватить их перевод и повторно войти в функцию депозита активов. Это позволяет пользователям увеличивать свой баланс без каких-либо фактических затрат средств.

В этом случае хакер использовал недавно созданный токен под названием ATK и самоуничтожающийся смарт-контракт для манипулирования пулами Orion.

4/ Сначала начинается взлом BSC с начальным фондом 0,4 BNB от @TornadoCash. Взлом ETH извлекает первоначальный фонд в размере 0,4 ETH от @SimpleSwap_io. После взлома прибыль в размере 1100 ETH переводится в @TornadoCash, а остальные 657 ETH остаются на счету хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc

– PeckShield Inc. (@peckshield) 3 февраля 2023 г.

Алексей Колосков, генеральный директор «Ориона», опубликовал ветку, объясняющую эксплойт, вскоре после того, как он произошел.

«У нас есть основания полагать, что проблема не была результатом каких-либо недостатков в коде нашего основного протокола, а могла быть вызвана уязвимостью при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами. ," он сказал.

Колосков отметил, что использованный контракт не имел большого значения для общественности, но в основном использовался одним из экспериментальных брокеров с казначейством компании. Средства пользователей, по его словам, на 100% безопасны.

Тем не менее, функция депозита Orion была закрыта и не будет открыта повторно до тех пор, пока ошибка не будет исправлена ​​и не будут проведены надлежащие проверки.

Приманка DeFi

Деньги, украденные в результате взлома DeFi, со временем растут: в 2022 году было украдено 3,8 миллиарда долларов, из которых 1,7 миллиарда долларов в криптовалюте забрали только северокорейские хакеры.

Большую часть этих денег забрала северокорейская группа Lazarus Group, которая, как подозревается, осуществила в июне взлом моста Harmony стоимостью 100 миллионов долларов.

Одними из наиболее прибыльных целей для крипто-хаков были блокчейн-мосты, где хранятся криптовалюты, поддерживающие их токенизированные варианты, циркулирующие в других блокчейнах.

В октябре работа Binance Smart Chain (BSC) была приостановлена ​​валидаторами после того, как хакер добыл из воздуха 2 миллиона BNB (стоимостью 600 миллионов долларов на тот момент), воспользовавшись мостом блокчейна. После этого большая часть BNB была быстро переведена в другие сети.

Пост-протокол Orion, взломанный за 3 миллиона долларов посредством повторной атаки, впервые появился на CryptoPotato.