Протокол Orion взломан на 3 миллиона долларов с помощью повторной атаки
Протокол Orion — агрегатор ликвидности для бирж CeFi и DeFi — в четверг был взломан его основной контракт в развертываниях Ethereum и Binance Smart Chains (BSC).
Хакер заработал более 1700 ETH, что на момент написания статьи стоило более 3 млн долларов.
Еще один взлом повторного входа
Как объяснила в Twitter компания по обеспечению безопасности блокчейнов PeckShield, взлом в четверг стал возможен «из-за неполной защиты от повторного входа». Ошибка повторного входа означает, что злоумышленник может неоднократно бесплатно выводить средства из смарт-контракта.
PeckShield уточнил, что функция swapThroughOrionPool позволяет любому, у кого есть созданные токены, перехватить их перевод для повторного входа в функцию депозитных активов. Это позволяет пользователям увеличивать свой баланс без каких-либо фактических затрат средств.
В этом случае хакер использовал недавно созданный токен под названием ATK и самоуничтожающийся смарт-контракт, чтобы манипулировать пулами Orion.
4/ Взлом начинается сначала на BSC с начальным фондом 0,4 BNB от @TornadoCash. Взлом ETH привлек первоначальный капитал в размере 0,4 ETH от @SimpleSwap_io. После взлома прибыль в размере 1100 ETH зачисляется на @TornadoCash, а остальные 657 ETH остаются на счету хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
– PeckShield Inc. (@peckshield), 3 февраля 2023 г.
Алексей Колосков, генеральный директор Orion, опубликовал ветку, объясняющую эксплойт вскоре после того, как он произошел.
«У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а скорее из-за уязвимости при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашим экспериментальным и частные брокеры», — сказал он.
Колосков отметил, что использованный контракт не имел большого значения для общественности, но в основном использовался одним из его экспериментальных брокеров с казначейством компании. По его словам, средства пользователей на 100% безопасны.
Тем не менее, функция депозита Orion была закрыта и не будет открыта до тех пор, пока ошибка не будет исправлена и не будут проведены надлежащие проверки.
Приманка DeFi
Деньги, украденные в результате взломов DeFi, со временем растут: в 2022 году было украдено 3,8 млрд долларов США, из которых 1,7 млрд долларов в криптовалюте были украдены только северокорейскими хакерами.
Большая часть этих денег была получена северокорейской группой Lazarus, которая, как подозревается, в июне провела взлом моста Harmony стоимостью 100 миллионов долларов.
Некоторыми из самых прибыльных целей для крипто-взломов были мосты блокчейнов, где хранятся криптовалюты, поддерживающие их токенизированные варианты, циркулирующие в других блокчейнах.
В октябре Binance Smart Chain (BSC) была приостановлена валидаторами после того, как хакер создал 2 миллиона BNB (на тот момент это стоило 600 миллионов долларов) из воздуха, используя блокчейн-мост. После этого большая часть BNB была быстро переведена в другие сети.
Сообщение о взломе протокола Orion за 3 миллиона долларов с помощью атаки повторного входа впервые появилось на CryptoPotato.