Protocolul Orion piratat, 3 milioane de dolari pierdute: iată cum

Cuprins

• Protocolul Orion a fost piratat pentru 3 milioane de dolari datorită unui bug binecunoscut: PeckShield
• Orion este în siguranță, niciun fond de utilizator nu este în pericol, spune CEO-ul

PeckShield, o echipă reputată de cercetare în domeniul securității criptomonedei, dezvăluie designul presupuselor atacuri împotriva Protocolului Orion. Între timp, echipa sa spune că doar fondurile interne erau în pericol.

Protocolul Orion a fost piratat pentru 3 milioane de dolari datorită unui bug binecunoscut: PeckShield

Potrivit declarației transmise de reprezentanții PeckShield pe Twitter, Orion Protocol, o mașină populară de lichiditate pentru CEX și DEX, a suferit un atac de hacker astăzi, 3 februarie 2023.

1/ Din nou, o lecție de 3 milioane USD din problema reintrării! The @orion_protocol este piratat din cauza unei probleme de reintrare în contractul său principal: ExchangeWithOrionPool. Ambele implementări eth/bsc sunt piratate. Iată cele două tx-uri de hack legate: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) 3 Februarie 2023

Mai mult, ieri, experții PeckShield au evidențiat această vulnerabilitate echipei protocolului. Logica contractuală de bază a lui Orion a fost greșită: a permis ca soldurile utilizatorilor să crească, în timp ce mută fonduri fără a depune efectiv bani.

Au fost exploatate ambele mecanisme ale BNB Chain (BSC) și Ethereum (ETH). În total, a fost nevoie de 0.4 BNB și 0.4 ETH pentru ca un atacator să epuizeze protocolul pentru 1,757 de eteri (ETH). Din această sumă, 1,100 de eteri (ETH) au fost deja spălați prin mixerul Tornado Cash.

După cum a fost descris anterior de U.Today, Protocolul Orion a câștigat o popularitate impresionantă în 2021, când s-a extins la BNB Chain (BSC), Polkadot (DOT) și Cardano (ADA), devenind primul agregator de lichidități multi-lanț al segmentului DeFi.

Orion este în siguranță, niciun fond de utilizator nu este în pericol, spune CEO-ul

CEO-ul Orion Protocol, Alexey Koloskov, a abordat problema într-un thread detaliat post-mortem. În primul rând, el a subliniat că toate modulele utilizatorilor finali ale platformei sale — Orion Pool, modulul de miză, bridge, furnizorii de lichidități și motorul de tranzacționare — sunt 100% sigure chiar acum.

Apoi, el a asigurat că contractul în cauză nu are o importanță deosebită pentru Protocolul Orion și nu are nimic de-a face cu baza de cod de bază:

Avem motive să credem că problema nu a fost rezultatul unor deficiențe în codul nostru de protocol de bază, ci mai degrabă ar fi fost cauzată de o vulnerabilitate în amestecarea bibliotecilor terțe într-unul dintre contractele inteligente utilizate de brokerii noștri experimentali și privați.

Ca atare, în viitor, echipa sa va trece la contracte inteligente „in-house” pentru a elimina posibilitatea apariției unor defecte de proiectare în codul terță parte.

De asemenea, datorită faptului că Orion are TVL „tranzitorie”, se numără printre protocoalele mai puțin expuse când vine vorba de hack-uri de contracte, a subliniat CEO Koloskov.