Протокол Orion взломан на 3 миллиона долларов с помощью повторной атаки

04.02.2023 / Новости платежных систем

Протокол Orion — агрегатор ликвидности для бирж CeFi и DeFi — в четверг был взломан его основной контракт в развертываниях Ethereum и Binance Smart Chains (BSC).

Хакер заработал более 1700 ETH, что на момент написания статьи стоило более 3 млн долларов.

Еще один взлом повторного входа

Как объяснила в Twitter компания по обеспечению безопасности блокчейнов PeckShield, взлом в четверг стал возможен «из-за неполной защиты от повторного входа». Ошибка повторного входа означает, что злоумышленник может неоднократно бесплатно выводить средства из смарт-контракта.

PeckShield уточнил, что функция swapThroughOrionPool позволяет любому, у кого есть созданные токены, перехватить их перевод для повторного входа в функцию депозитных активов. Это позволяет пользователям увеличивать свой баланс без каких-либо фактических затрат средств.

В этом случае хакер использовал недавно созданный токен под названием ATK и самоуничтожающийся смарт-контракт, чтобы манипулировать пулами Orion.

4/ Взлом начинается сначала на BSC с начальным фондом 0,4 BNB от @TornadoCash. Взлом ETH привлек первоначальный капитал в размере 0,4 ETH от @SimpleSwap_io. После взлома прибыль в размере 1100 ETH зачисляется на @TornadoCash, а остальные 657 ETH остаются на счету хакера: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc

– PeckShield Inc. (@peckshield), 3 февраля 2023 г.

Алексей Колосков, генеральный директор Orion, опубликовал ветку, объясняющую эксплойт вскоре после того, как он произошел.

«У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а скорее из-за уязвимости при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашим экспериментальным и частные брокеры», — сказал он.

Колосков отметил, что использованный контракт не имел большого значения для общественности, но в основном использовался одним из его экспериментальных брокеров с казначейством компании. По его словам, средства пользователей на 100% безопасны.

Тем не менее, функция депозита Orion была закрыта и не будет открыта до тех пор, пока ошибка не будет исправлена ​​и не будут проведены надлежащие проверки.

Приманка DeFi

Деньги, украденные в результате взломов DeFi, со временем растут: в 2022 году было украдено 3,8 млрд долларов США, из которых 1,7 млрд долларов в криптовалюте были украдены только северокорейскими хакерами.

Большая часть этих денег была получена северокорейской группой Lazarus, которая, как подозревается, в июне провела взлом моста Harmony стоимостью 100 миллионов долларов.

Некоторыми из самых прибыльных целей для крипто-взломов были мосты блокчейнов, где хранятся криптовалюты, поддерживающие их токенизированные варианты, циркулирующие в других блокчейнах.

 В октябре Binance Smart Chain (BSC) была приостановлена ​​валидаторами после того, как хакер создал 2 миллиона BNB (на тот момент это стоило 600 миллионов долларов) из воздуха, используя блокчейн-мост. После этого большая часть BNB была быстро переведена в другие сети.

Сообщение о взломе протокола Orion за 3 миллиона долларов с помощью атаки повторного входа впервые появилось на CryptoPotato.