Napadnutie protokolu Orion, strata 3 miliónov dolárov: Tu je návod

Obsah

• Orion Protocol hacknutý za 3 milióny dolárov vďaka známej chybe: PeckShield
• Orion je bezpečný, žiadne finančné prostriedky používateľov nie sú ohrozené, hovorí generálny riaditeľ

PeckShield, uznávaný tím pre výskum bezpečnosti kryptomien, odhaľuje návrh údajných útokov proti protokolu Orion. Medzitým jej tím tvrdí, že ohrozené boli iba interné fondy.

Orion Protocol hacknutý za 3 milióny dolárov vďaka známej chybe: PeckShield

Podľa vyhlásenia zdieľaného zástupcami PeckShield na Twitteri, Orion Protocol, populárny stroj na zabezpečenie likvidity pre CEX a DEX, dnes, 3. februára 2023, utrpel hackerský útok.

1/ Opäť lekcia v hodnote 3 miliónov dolárov z chyby pri opakovanom vstupe! The @orion_protocol je napadnutý hackermi kvôli problému s opätovným vstupom v jeho základnej zmluve: ExchangeWithOrionPool. Obe nasadenia eth/bsc sú napadnuté. Tu sú dva súvisiace hack TX: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Februára 3, 2023

Navyše, včera odborníci z PeckShield zdôraznili túto zraniteľnosť tímu protokolu. Logika základnej zmluvy spoločnosti Orion bola chybná: umožňovala zvyšovať zostatky používateľov a zároveň presúvať prostriedky bez skutočného vkladu peňazí.

Využili sa oba mechanizmy BNB Chain (BSC) a Ethereum (ETH). Celkovo trvalo útočníkovi 0.4 BNB a 0.4 ETH na vyčerpanie protokolu 1,757 1,100 éterov (ETH). Z tejto sumy už bolo vypraných XNUMX XNUMX éterov (ETH) cez Tornado Cash mixer.

Ako už bolo predtým pokryté U.Today, Orion Protocol si v roku 2021 získal pôsobivú popularitu, keď sa rozšíril na BNB Chain (BSC), Polkadot (DOT) a Cardano (ADA), čím sa stal prvým multireťazcovým agregátorom likvidity v segmente DeFi.

Orion je bezpečný, žiadne finančné prostriedky používateľov nie sú ohrozené, hovorí generálny riaditeľ

Generálny riaditeľ Orion Protocol Alexey Koloskov riešil problém v podrobnom posmrtnom vlákne. Po prvé, zdôraznil, že všetky moduly koncových používateľov jeho platformy – Orion Pool, stávkový modul, most, poskytovatelia likvidity a obchodný motor – sú práve teraz 100% bezpečné.

Potom uistil, že predmetná zmluva nemá pre protokol Orion osobitný význam a nemá nič spoločné s jeho základnou kódovou základňou:

Máme dôvody domnievať sa, že problém nebol výsledkom žiadnych nedostatkov v kóde nášho základného protokolu, ale skôr mohol byť spôsobený zraniteľnosťou pri miešaní knižníc tretích strán v jednej z inteligentných zmlúv používaných našimi experimentálnymi a súkromnými maklérmi.

Ako taký sa v budúcnosti jeho tím chystá prejsť na „interné“ inteligentné zmluvy, aby odstránil možnosť nedostatkov v dizajne v kóde tretích strán.

Aj vzhľadom na skutočnosť, že Orion má „prechodné“ TVL, patrí medzi menej exponované protokoly, pokiaľ ide o hackovanie zmlúv, zdôraznil generálny riaditeľ Koloskov.