Le protocole Orion piraté pour 3 millions de dollars via une attaque de réentrance
Orion Protocol – un agrégateur de liquidités pour les échanges CeFi et DeFi – a vu son contrat de base piraté jeudi sur ses déploiements Ethereum et Binance Smart Chains (BSC).
Le pirate a rapporté plus de 1700 ETH, d’une valeur cumulée de plus de 3 millions de dollars au moment de la rédaction.
Un autre hack de réentrance
Comme l’a expliqué la société de sécurité blockchain PeckShield sur Twitter, le piratage de jeudi a été rendu possible « en raison d’une protection de réentrance incomplète ». Un bogue de réentrance fait référence au moment où un attaquant peut retirer des fonds à plusieurs reprises d’un contrat intelligent sans frais.
PeckShield a expliqué que la fonction swapThroughOrionPool permet à toute personne disposant de jetons fabriqués de détourner son transfert pour réintégrer la fonction d’actif de dépôt. Cela permet aux utilisateurs d’augmenter leur solde sans aucun coût réel de fonds.
Dans ce cas, le pirate a utilisé un jeton nouvellement construit appelé ATK et un contrat intelligent autodestructeur pour manipuler les pools d’Orion.
Le hack ETH tire le fonds initial 0 Après piratageco/wGG6RA0qii
Alexey Koloskov, PDG d’Orion, a publié un fil expliquant l’exploit peu de temps après qu’il se soit produit.
mais aurait plutôt pu être causé par une vulnérabilité dans le mélange de bibliothèques tierces dans l’un des contrats intelligents utilisés par nos courtiers expérimentaux et privés. » il a dit.
Koloskov a noté que le contrat exploité n’était pas d’une importance majeure pour le public, mais était principalement utilisé par l’un de ses courtiers expérimentaux auprès de la trésorerie de l’entreprise. Les fonds des utilisateurs, a-t-il dit, sont sûrs à 100 %.
Néanmoins, la fonction de dépôt d’Orion a été fermée et ne sera pas rouverte tant que le bogue ne sera pas corrigé et que les audits appropriés n’auront pas eu lieu.
Le pot de miel DeFi
L’argent volé via les hacks DeFi augmente au fil du temps : en 2022, 3,8 milliards de dollars ont été volés, dont 1,7 milliard de dollars en crypto pris par les seuls pirates nord-coréens.
Une grande partie de cet argent a été prise par le groupe nord-coréen Lazarus, qui est soupçonné d’avoir exécuté le piratage du pont Harmony de 100 millions de dollars en juin.
Certaines des cibles les plus lucratives pour les hacks cryptographiques ont été les ponts de blockchain – où les crypto-monnaies soutenant leurs variantes tokenisées circulant sur d’autres blockchains sont stockées.
En octobre, Binance Smart Chain (BSC) a été interrompue par les validateurs après qu’un hacker ait frappé 2 millions de BNB (d’une valeur de 600 millions de dollars à l’époque) à partir de rien en exploitant le pont blockchain. Une grande partie de la BNB a été rapidement transférée à d’autres chaînes par la suite.
.
