Orion Protocol – un agrégateur de liquidités pour les bourses CeFi et DeFi – a vu son contrat principal piraté jeudi dans ses déploiements Ethereum et Binance Smart Chains (BSC).
Le pirate informatique a récolté plus de 1 700 ETH, d’une valeur cumulée de plus de 3 millions de dollars au moment de la rédaction de cet article.
Un autre hack de réentrée
Comme l’explique la société de sécurité blockchain PeckShield sur Twitter, le piratage de jeudi a été rendu possible « en raison d’une protection incomplète contre la réentrée ». Un bug de réentrée fait référence au moment où un attaquant peut retirer des fonds à plusieurs reprises et sans frais d'un contrat intelligent.
PeckShield a expliqué que la fonction swapThroughOrionPool permet à toute personne possédant des jetons contrefaits de détourner son transfert pour réintégrer la fonction d'actif de dépôt. Cela permet aux utilisateurs d’augmenter leur solde sans aucun coût réel.
Dans ce cas, le pirate informatique a utilisé un jeton nouvellement construit appelé ATK et un contrat intelligent autodestructeur pour manipuler les pools d’Orion.
4/ Le hack est démarré d'abord sur BSC avec un fonds initial de 0,4 BNB de @TornadoCash. Le hack ETH tire le fonds initial de 0,4 ETH de @SimpleSwap_io. Après le piratage, le gain de 1 100 ETH est déposé dans @TornadoCash et les 657 autres ETH restent sur le compte du hacker : https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc
– PeckShield Inc. (@peckshield) 3 février 2023
Alexey Koloskov, PDG d'Orion, a publié un fil de discussion expliquant l'exploit peu de temps après son apparition.
"Nous avons des raisons de croire que le problème n'est pas dû à des lacunes dans notre code de protocole principal, mais pourrait plutôt être dû à une vulnérabilité liée au mélange de bibliothèques tierces dans l'un des contrats intelligents utilisés par nos courtiers expérimentaux et privés. ," il a dit.
Koloskov a noté que le contrat exploité n'avait pas une grande importance pour le public, mais était principalement utilisé par l'un de ses courtiers expérimentaux auprès de la trésorerie de l'entreprise. Les fonds des utilisateurs, a-t-il déclaré, sont sécurisés à 100 %.
Néanmoins, la fonction de dépôt d'Orion a été fermée et ne sera pas rouverte tant que le bug n'aura pas été corrigé et que des audits appropriés n'auront pas été effectués.
Le pot de miel DeFi
L’argent volé via les hacks DeFi augmente avec le temps : en 2022, 3,8 milliards de dollars ont été volés, dont 1,7 milliard de dollars en crypto récupérés par les seuls pirates nord-coréens.
Une grande partie de cet argent a été récupérée par le groupe nord-coréen Lazarus, soupçonné d'avoir exécuté le piratage du pont Harmony d'une valeur de 100 millions de dollars en juin.
Certaines des cibles les plus lucratives des piratages cryptographiques ont été les ponts blockchain – où sont stockées les crypto-monnaies soutenant leurs variantes tokenisées circulant sur d’autres blockchains.
En octobre, Binance Smart Chain (BSC) a été suspendue par les validateurs après qu'un pirate informatique ait créé 2 millions de BNB (d'une valeur de 600 millions de dollars à l'époque) à partir de rien en exploitant le pont blockchain. Une grande partie du BNB a été rapidement transférée vers d’autres chaînes par la suite.
Le protocole post Orion piraté pour 3 millions de dollars via une attaque de réentrée apparaît en premier sur CryptoPotato.
