Orion Protocol – агрегатор ліквідності як для бірж CeFi, так і для DeFi – зіткнувся з зламаним у четвер його основним контрактом у розгортанні Ethereum і Binance Smart Chains (BSC).

Хакер заробив понад 1700 ETH, що на момент написання статті становило понад 3 мільйони доларів.

Ще один хак Reentrancy

Як пояснила компанія з безпеки блокчейну PeckShield у Twitter, злом у четвер став можливим «через неповний захист від повторного входу». Помилка повторного входу означає, що зловмисник може неодноразово вилучати кошти зі смарт-контракту безкоштовно.

PeckShield уточнив, що функція swapThroughOrionPool дозволяє будь-кому, хто має створені токени, перехопити їх переказ для повторного входу до функції депозитних активів. Це дозволяє користувачам збільшувати свій баланс без будь-яких фактичних витрат коштів.

У цьому випадку хакер використав нещодавно створений токен під назвою ATK і смарт-контракт, що самознищується, щоб маніпулювати пулами Orion.

4/ Хак розпочато спочатку на BSC з початковим фондом 0,4 BNB від @TornadoCash. Злом ETH залучає початковий фонд 0,4 ETH від @SimpleSwap_io. Після злому прибуток у розмірі 1100 ETH передається в @TornadoCash, а інші 657 ETH залишаються на акаунті хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc

— PeckShield Inc. (@peckshield) 3 лютого 2023 р

Олексій Колосков, генеральний директор Orion, опублікував тему з поясненням експлойту незабаром після того, як він стався.

«У нас є підстави вважати, що проблема не була результатом будь-яких недоліків у нашому коді основного протоколу, а могла бути спричинена вразливістю в змішуванні сторонніх бібліотек в одному зі смарт-контрактів, які використовують наші експериментальні та приватні брокери. ," він сказав.

Колосков зазначив, що використаний контракт не мав великого значення для громадськості, а в основному використовувався одним із її експериментальних брокерів з казначейством компанії. Кошти користувачів, за його словами, безпечні на 100%.

Тим не менш, функція депозиту Orion була закрита та не буде знову відкрита, доки помилку не буде виправлено та не буде проведено відповідні перевірки.

DeFi Honeypot

Гроші, викрадені через злом DeFi, з часом зростають: у 2022 році було вкрадено 3,8 мільярда доларів, причому лише північнокорейські хакери заволоділи криптовалютою на 1,7 мільярда доларів.

Більшу частину цих грошей забрала північнокорейська Lazarus Group, яку підозрюють у зломі Harmony bridge на 100 мільйонів доларів у червні.

Одними з найприбутковіших цілей для криптозломів були блокчейн-мости, де зберігаються криптовалюти, що підтримують їх токенізовані варіанти, що обертаються в інших блокчейнах.

У жовтні Binance Smart Chain (BSC) був призупинений валідаторами після того, як хакер викарбував 2 мільйони BNB (на той час вартістю 600 мільйонів доларів) з повітря, використовуючи міст блокчейну. Згодом більшу частину BNB швидко перенесли до інших мереж.

Повідомлення Orion Protocol зламано на 3 мільйони доларів через атаку повторного входу вперше з’явилося на CryptoPotato.