Zhakowany protokół Orion, utracone 3 miliony dolarów: Oto jak

Spis treści

• Orion Protocol zhakowany za 3 miliony dolarów dzięki dobrze znanemu błędowi: PeckShield
• Orion jest bezpieczny, żadne fundusze użytkowników nie są zagrożone, mówi CEO

PeckShield, renomowany zespół badawczy zajmujący się bezpieczeństwem kryptowalut, ujawnia projekt rzekomych ataków na protokół Orion. Tymczasem jego zespół twierdzi, że zagrożone były tylko fundusze wewnętrzne.

Orion Protocol zhakowany za 3 miliony dolarów dzięki dobrze znanemu błędowi: PeckShield

Zgodnie z oświadczeniem udostępnionym przez przedstawicieli PeckShield na Twitterze, Orion Protocol, popularna maszyna płynności dla CEX-ów i DEX-ów, padła ofiarą ataku hakerskiego dzisiaj, 3 lutego 2023 r.

1/ Ponownie, lekcja o wartości 3 milionów dolarów z błędu ponownego wejścia! The @protko_z_swiata został zhakowany z powodu problemu z ponownym wejściem w jego podstawowym kontrakcie: ExchangeWithOrionPool. Oba wdrożenia eth/bsc zostały zhakowane. Oto dwa powiązane hack txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) 3 lutego 2023 r.

Co więcej, wczoraj eksperci PeckShield zwrócili uwagę na tę lukę zespołowi zajmującemu się protokołem. Podstawowa logika kontraktu Oriona była wadliwa: pozwalała zwiększać salda użytkowników, jednocześnie przesuwając środki bez deponowania pieniędzy.

Wykorzystywane były oba mechanizmy łańcucha BNB (BSC) i Ethereum (ETH). W sumie atakujący potrzebował 0.4 BNB i 0.4 ETH, aby opróżnić protokół dla 1,757 eterów (ETH). Z tej sumy 1,100 eterów (ETH) zostało już wypranych przez mikser Tornado Cash.

Jak informował wcześniej U.Today, Orion Protocol zyskał imponującą popularność w 2021 r., kiedy rozszerzył się na BNB Chain (BSC), Polkadot (DOT) i Cardano (ADA), stając się pierwszym wielołańcuchowym agregatorem płynności w segmencie DeFi.

Orion jest bezpieczny, żadne fundusze użytkowników nie są zagrożone, mówi CEO

Dyrektor generalny Orion Protocol, Alexey Koloskov, odniósł się do problemu w szczegółowym wątku pośmiertnym. Po pierwsze, podkreślił, że wszystkie moduły użytkownika końcowego jego platformy — Orion Pool, moduł stakingu, bridge, dostawcy płynności i silnik handlowy — są teraz w 100% bezpieczne.

Następnie zapewnił, że przedmiotowa umowa nie ma szczególnego znaczenia dla Protokołu Oriona i nie ma nic wspólnego z jego podstawową bazą kodu:

Mamy powody sądzić, że problem nie wynikał z jakichkolwiek niedociągnięć w kodzie naszego podstawowego protokołu, ale mógł być raczej spowodowany przez lukę w mieszaniu bibliotek innych firm w jednym z inteligentnych kontraktów używanych przez naszych eksperymentalnych i prywatnych brokerów.

W związku z tym w przyszłości jego zespół zamierza przejść na inteligentne kontrakty „wewnętrzne”, aby wyeliminować możliwość wystąpienia błędów projektowych w kodzie strony trzeciej.

Ponadto, ze względu na fakt, że Orion ma „przejściowe” TVL, jest to jeden z mniej narażonych protokołów, jeśli chodzi o włamania do kontraktów, podkreślił CEO Koloskov.