Les piratages continuent
Orion Protocol, un agrégateur de liquidités pour les bourses CeFi et DeFi, a été compromis dans ses deux déploiements Ethereum et Binance Smart Chains (BSC). Plus de 1’700 Ethereum, soit plus de 3 millions de dollars, ont été volés par le pirate.
Ce vol a été possible en raison d’une protection insuffisante contre la réentrance, comme l’a décrit la société de sécurité blockchain PeckShield sur Twitter. En cas de problème de réentrance, un attaquant peut retirer de l’argent d’un contrat intelligent à plusieurs reprises sans payer de frais.
Selon PeckShield, l’utilisation de la méthode swapThroughOrionPool permet à toute personne disposant de jetons spécialement conçus de rentrer dans la fonction de dépôt d’actifs et de voler les jetons. Aucune dépense n’est nécessaire pour augmenter le solde du compte de cette manière.
Fonction de dépôt mise en pause
Dans ce cas, le pirate a manipulé les pools d’Orion en créant un nouveau jeton appelé ATK et un contrat intelligent autodestructeur. Le PDG d’Orion, Alexey Koloskov, a publié un fil de discussion détaillant la vulnérabilité peu après sa découverte.
Même si le contrat exploité a été utilisé par l’un des courtiers expérimentaux de la société, M. Koloskov a souligné que cela n’avait que peu d’importance pour le public. Il a assuré que leur argent était totalement sécurisé. Cependant, la fonction de dépôt d’Orion a été fermée et ne sera pas rouverte tant que le problème n’aura pas été résolu et que les audits appropriés n’auront pas été effectués.
Les sommes d’argent volées par les brèches de la DeFi ont été en augmentation en 2022. 3.8 milliards de dollars ont été volés, dont 1.7 milliard en crypto et commis par des hackers nord-coréens. La violation du pont Harmony, d’une valeur de 100 millions de dollars, en juin, est largement considérée comme ayant été réalisée par le groupe nord-coréen Lazarus, qui a volé une grande partie des fonds volés.