Orion Protocol потеряла $3 млн в результате эксплойта
- Хакер воспользовался уязвимостью повторного входа в смарт-контракт
- Платформа приостановила работу на фоне случившегося
- Часть украденного преступник уже отправил в Tornado Cash
Вчера, 2 февраля, торговая платформа Orion Protocol подверглась взлому и приостановила работу. Злоумышленник воспользовался эксплойтом повторного входа в смарт-контракт, в результате чего площадка потеряла $3 млн в криптовалюте.
Первыми о подозрительной активности на платформе сообщили сотрудники PeckShield Alert. Сегодня, 3 февраля, агентство опубликовало аналитику произошедшего.
Хакер воспользовался так называемым «reentrance bug» (баг повторного входа). Этот эксплойт позволяет получить доступ к функции DepositAsset через передачу токенов, а затем «накачать» баланс без реальной стоимости средств.
Для транзакций преступник воспользовался фейковым токеном ATK и самоуничтожающимся смарт-контрактом. Путем манипуляций с пулами Orion Protocol хакер вывел ETH и BTC на $2,8 млн и $200 тысяч соответственно.
Часть награбленного он сразу же отправил в микшер Tornado Cash. Представитель Orion Protocol Эндрю Кирк отметил, что администрация площадки изучает отчеты о случившемся, но какого-то четкого плана пока нет.
Reentrance bug — это популярная ошибка в смарт-контрактах. Чаще всего этот эксплойт встречается в проектах на базе Ethereum, но также подобная уязвимость бывает и в других блокчейнах.
Как отмечают эксперты, самый простой способ предупредить такой взлом —- использовать шаблон для кода «check-effects-interaction». В этом случае перед передачей значения происходит проверка состояния, что позволяет избежать «накачки» баланса хакера.
Ранее мы рассказывали о новых подробностях в деле о взломе Bitfinex. Одна из фигурантов происшествия обратилась к суду с просьбой смягчить домашний арест, поскольку она получила предложение о работе в неназываемой техно-компании.