DeFi-проект Orion Protocol взломали на $3 млн

Неизвестный совершил атаку на децентрализованную платформу Orion Protocol, работающую на базе Ethereum и BNB Chain. Хакеру удалось заполучить $3 млн.

1/ Again, a $3M lesson from the reentrancy bug! The @orion_protocol is hacked due to a reentrancy issue in its core contract: ExchangeWithOrionPool. Both eth/bsc deployment are hacked. Here are the two related hack txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

— PeckShield Inc. (@peckshield) February 3, 2023

По словам специалистов из PeckShield, была реализована атака повторного входа. Соответствующая уязвимость возникает, когда злоумышленник многократно вызывает функцию и извлекает активы из смарт-контракта до обновления внутреннего состояния последнего. Подобные инциденты возможны при наличии ошибок в коде и недостатков системы безопасности протокола. 

Команда Orion Protocol признала факт хакерской атаки и приостановила функцию депонирования. 

CEO проекта Алексей Колосков подчеркнул, что пользователи не потеряли средства — пострадали лишь активы компании:

«Мы хотим заверить наших пользователей, что ни один из них не понес ущерб во время этого инцидента».

Он добавил, что уязвимость могла возникнуть из-за использования сторонних библиотек для написания смарт-контрактов. В дальнейшем, по словам Колоскова, команда разработчиков будет больше полагаться на собственные силы.

Ранее из-за атаки повторного входа протокол Omni лишился $1,5 млн.