Vdrli v Orion Protocol, izgubili 3 milijone dolarjev: Evo kako

vsebina

• Orion Protocol vdrl za 3 milijone dolarjev zahvaljujoč dobro znani napaki: PeckShield
• Orion je varen, sredstva uporabnikov niso ogrožena, pravi izvršni direktor

PeckShield, ugledna raziskovalna skupina za varnost kriptovalut, razkriva zasnovo domnevnih napadov na Orion Protocol. Medtem njegova ekipa pravi, da so bila ogrožena le notranja sredstva.

Orion Protocol vdrl za 3 milijone dolarjev zahvaljujoč dobro znani napaki: PeckShield

Glede na izjavo, ki so jo predstavniki PeckShielda delili na Twitterju, je Orion Protocol, priljubljen stroj za likvidnost za CEX in DEX, danes, 3. februarja 2023, doživel hekerski napad.

1/ Spet 3 milijone dolarjev lekcije o napaki ponovnega vstopa! The @orion_protokol je vdrl zaradi težave s ponovnim vstopom v svoji osnovni pogodbi: ExchangeWithOrionPool. Obe uvedbi eth/bsc sta vdrli. Tukaj sta dva sorodna hack tx-ja: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Februar 3, 2023

Poleg tega so strokovnjaki PeckShielda včeraj ekipi za protokol poudarili to ranljivost. Orionova temeljna pogodbena logika je bila napačna: dovoljevala je povečanje stanja uporabnikov, hkrati pa premikala sredstva, ne da bi dejansko položila denar.

Izkoriščena sta bila oba mehanizma BNB Chain (BSC) in Ethereum (ETH). Skupno je bilo potrebnih 0.4 BNB in ​​0.4 ETH, da je napadalec izpraznil protokol za 1,757 etrov (ETH). Od te vsote je bilo 1,100 etrov (ETH) že opranih prek mešalnika Tornado Cash.

Kot je že poročal U.Today, je protokol Orion dosegel izjemno priljubljenost leta 2021, ko se je razširil na verigo BNB (BSC), Polkadot (DOT) in Cardano (ADA) ter postal prvi večverižni zbiralnik likvidnosti v segmentu DeFi.

Orion je varen, sredstva uporabnikov niso ogrožena, pravi izvršni direktor

Izvršni direktor Orion Protocol Alexey Koloskov je to težavo obravnaval v podrobni postmortem niti. Najprej je poudaril, da so vsi moduli za končne uporabnike njegove platforme – Orion Pool, staking modul, bridge, ponudniki likvidnosti in trgovalni mehanizem – trenutno 100-odstotno varni.

Nato je zagotovil, da zadevna pogodba ni posebnega pomena za Orion Protocol in nima nobene zveze z njegovo osnovno kodo:

Imamo razloge za domnevo, da težava ni posledica kakršnih koli pomanjkljivosti v naši osnovni kodi protokola, temveč jo je morda povzročila ranljivost pri mešanju knjižnic tretjih oseb v eni od pametnih pogodb, ki jih uporabljajo naši eksperimentalni in zasebni posredniki.

Kot taka bo njegova ekipa v prihodnosti prešla na »notranje« pametne pogodbe, da bi odpravila možnost napak pri načrtovanju kode tretjih oseb.

Tudi zaradi dejstva, da ima Orion "prehodni" TVL, je med manj izpostavljenimi protokoli, ko gre za pogodbene vdore, je poudaril izvršni direktor Koloskov.