Protokol Orion – agregator likuiditas untuk bursa CeFi dan DeFi – kontrak intinya diretas pada hari Kamis di penerapan Ethereum dan Binance Smart Chains (BSC).

Peretas menjaring lebih dari 1700 ETH, secara kumulatif bernilai lebih dari $3 juta pada saat penulisan.

Peretasan Masuk Kembali lainnya

Seperti yang dijelaskan oleh perusahaan keamanan blockchain PeckShield di Twitter, peretasan pada hari Kamis dimungkinkan “karena perlindungan masuk kembali yang tidak lengkap.” Bug reentrancy mengacu pada saat penyerang dapat menarik dana berulang kali dari kontrak pintar tanpa biaya.

PeckShield menjelaskan bahwa fungsi swapThroughOrionPool memungkinkan siapa pun yang memiliki token buatan untuk membajak transfer mereka agar masuk kembali ke fungsi aset deposit. Hal ini memungkinkan pengguna meningkatkan saldo mereka tanpa biaya dana sebenarnya.

Dalam kasus ini, peretas menggunakan token baru yang disebut ATK, dan kontrak pintar yang dapat merusak dirinya sendiri, untuk memanipulasi kumpulan Orion.

4/ Peretasan dimulai pertama kali di BSC dengan dana awal 0,4 BNB dari @TornadoCash. Peretasan ETH menarik dana awal 0,4 ETH dari @SimpleSwap_io. Setelah diretas, keuntungan sebesar 1100 ETH disimpan ke @TornadoCash dan 657 ETH lainnya tetap berada di akun peretas: https://t.co/wGG6RA0qii pic.twitter.com/lRj9HGEgQc

— PeckShield Inc. (@peckshield) 3 Februari 2023

Alexei Koloskov, CEO Orion, menerbitkan sebuah thread yang menjelaskan eksploitasi tersebut tidak lama setelah hal itu terjadi.

“Kami memiliki alasan untuk percaya bahwa masalah ini bukan disebabkan oleh kekurangan dalam kode protokol inti kami, namun mungkin disebabkan oleh kerentanan dalam menggabungkan perpustakaan pihak ketiga di salah satu kontrak pintar yang digunakan oleh broker eksperimental dan swasta kami. ," dia berkata.

Koloskov mencatat bahwa kontrak yang dieksploitasi bukanlah hal yang penting bagi publik, namun sebagian besar digunakan oleh salah satu pialang eksperimental dengan perbendaharaan perusahaan. Dana pengguna, kata dia, 100% aman.

Namun demikian, fungsi Deposit Orion telah ditutup, dan tidak akan dibuka kembali sampai bug tersebut diperbaiki dan audit yang tepat telah dilakukan.

Pot Madu DeFi

Uang yang dicuri melalui peretasan DeFi terus bertambah seiring waktu: Pada tahun 2022, $3,8 miliar dicuri, dengan $1,7 miliar dalam bentuk kripto diambil oleh peretas Korea Utara saja.

Sebagian besar uang tersebut diambil oleh Grup Lazarus Korea Utara, yang diduga telah melakukan peretasan jembatan Harmony senilai $100 juta pada bulan Juni.

Beberapa target yang paling menguntungkan untuk peretasan kripto adalah jembatan blockchain – tempat penyimpanan mata uang kripto yang mendukung varian token mereka yang beredar di blockchain lain.

Pada bulan Oktober, Binance Smart Chain (BSC) dihentikan sementara oleh validator setelah seorang peretas mencetak 2 Juta BNB (senilai $600 juta pada saat itu) dengan mengeksploitasi jembatan blockchain. Sebagian besar BNB dengan cepat dipindahkan ke jaringan lain setelahnya.

Pos Protokol Orion Diretas Sebesar $3 Juta Melalui Serangan Reentrancy muncul pertama pada KriptoKentang.