Протоколът Orion е хакнат, загубени са 3 милиона долара: Ето как

Съдържание

• Orion Protocol хакнат за 3 милиона долара благодарение на добре познатата грешка: PeckShield
• Orion е сигурен, няма рискови потребителски средства, казва изпълнителният директор

PeckShield, уважаван екип за изследване на сигурността на криптовалута, разкрива дизайна на предполагаеми атаки срещу Orion Protocol. Междувременно неговият екип казва, че само вътрешните фондове са били изложени на риск.

Orion Protocol хакнат за 3 милиона долара благодарение на добре познатата грешка: PeckShield

Според изявлението, споделено от представители на PeckShield в Twitter, Orion Protocol, популярна машина за ликвидност за CEX и DEX, е претърпял хакерска атака днес, 3 февруари 2023 г.

1/ Отново урок за $3 милиона от грешката при повторно влизане! The @orion_protocol е хакнат поради проблем с повторното влизане в неговия основен договор: ExchangeWithOrionPool. И двете eth/bsc внедрявания са хакнати. Ето двата свързани хак txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Февруари 3, 2023

Освен това вчера експертите на PeckShield подчертаха тази уязвимост пред екипа на протокола. Основната договорна логика на Orion беше погрешна: тя позволяваше балансите на потребителите да се увеличават, като същевременно преместваше средства, без действително да депозира пари.

Бяха използвани и двата механизма на BNB Chain (BSC) и Ethereum (ETH). Общо бяха нужни 0.4 BNB и 0.4 ETH на нападател, за да източи протокола за 1,757 етера (ETH). От тази сума 1,100 Ethers (ETH) вече са били изпрани чрез Tornado Cash mixer.

Както беше описано от U.Today по-рано, Orion Protocol спечели впечатляваща популярност през 2021 г., когато се разшири до BNB Chain (BSC), Polkadot (DOT) и Cardano (ADA), превръщайки се в първия многоверижен агрегатор на ликвидност в сегмента DeFi.

Orion е сигурен, няма рискови потребителски средства, казва изпълнителният директор

Главният изпълнителен директор на Orion Protocol Алексей Колосков разгледа проблема в подробна тема след смъртта. Първо, той подчерта, че всички модули за крайни потребители на неговата платформа — Orion Pool, модул за залагане, мост, доставчици на ликвидност и двигател за търговия — са 100% защитени в момента.

След това той увери, че въпросният договор не е от особено значение за Orion Protocol и няма нищо общо с неговата основна кодова база:

Имаме причини да вярваме, че проблемът не е резултат от някакви недостатъци в основния ни протоколен код, а по-скоро може да е причинен от уязвимост при смесването на библиотеки на трети страни в един от интелигентните договори, използвани от нашите експериментални и частни брокери.

Като такъв, в бъдеще екипът му ще премине към „вътрешни“ интелигентни договори, за да премахне възможността за дефекти в дизайна в кода на трети страни.

Също така, поради факта, че Orion има „преходен“ TVL, той е сред по-малко изложените протоколи, когато става въпрос за хакове на договори, подчерта изпълнителният директор Колосков.