Orion Protocol втратила $3 млн унаслідок експлойту

• Хакер скористався вразливістю повторного входу в смарт-контракт
• Платформа призупинила роботу на тлі того, що сталося
• Частину вкраденого злочинець уже відправив у Tornado Cash

Учора, 2 лютого, торгова платформа Orion Protocol зазнала зламу і призупинила роботу. Зловмисник скористався експлойтом повторного входу в смарт-контракт, унаслідок чого майданчик втратив $3 млн у криптовалюті.

Першими про підозрілу активність на платформі повідомили співробітники PeckShield Alert. Сьогодні, 3 лютого, агентство опублікувало аналітику події.

Хакер скористався так званим «reentrance bug» (баг повторного входу). Цей експлойт дає змогу отримати доступ до функції DepositAsset через передачу токенів, а потім «накачати» баланс без реальної вартості коштів.

Для транзакцій злочинець скористався фейковим токеном ATK і самознищуваним смарт-контрактом. Шляхом маніпуляцій із пулами Orion Protocol хакер вивів ETH і BTC на $2,8 млн і $200 тисяч відповідно.

Частину награбованого він відразу ж відправив у мікшер Tornado Cash. Представник Orion Protocol Ендрю Кірк зазначив, що адміністрація майданчика вивчає звіти про те, що трапилося, але якогось чіткого плану поки немає.

Reentrance bug — це популярна помилка в смарт-контрактах. Найчастіше цей експлойт трапляється в проєктах на базі Ethereum, але також подібна вразливість буває і в інших блокчейнах.

Як зазначають експерти, найпростіший спосіб попередити такий злам — використовувати шаблон для коду «check-effects-interaction». У цьому разі перед передачею значення відбувається перевірка стану, що дає змогу уникнути «накачування» балансу хакера.

Раніше ми розповідали про нові подробиці у справі про злом Bitfinex. Одна з фігурантів події звернулася до суду з проханням пом’якшити домашній арешт, оскільки вона отримала пропозицію про роботу в неназваній техно-компанії.