Uzlauzts Orion protokols, zaudēti 3 miljoni USD: lūk, kā

Saturs

• Orion Protocol tika uzlauzts par 3 miljoniem USD, pateicoties labi zināmajai kļūdai: PeckShield
• Orion ir drošs, lietotāju līdzekļi nav apdraudēti, saka izpilddirektors

PeckShield, cienījama kriptovalūtu drošības pētījumu komanda, atklāj iespējamo uzbrukumu Orion protokolam plānu. Tikmēr tās komanda saka, ka apdraudēti bija tikai iekšējie fondi.

Orion Protocol tika uzlauzts par 3 miljoniem USD, pateicoties labi zināmajai kļūdai: PeckShield

Saskaņā ar paziņojumu, ar kuru PeckShield pārstāvji dalījās vietnē Twitter, Orion Protocol, populāra CEX un DEX likviditātes iekārta, šodien, 3. gada 2023. februārī, cieta hakeru uzbrukumā.

1/ Atkal, 3 miljonu dolāru mācība no atgriešanās kļūdas! The @orion_protocol ir uzlauzts tā pamatlīguma atkārtotas ieejas problēmas dēļ: ExchangeWithOrionPool. Abas eth/bsc izvietošanas ir uzlauztas. Šeit ir divi saistītie hack txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Februāris 3, 2023

Turklāt vakar PeckShield eksperti protokola komandai uzsvēra šo ievainojamību. Orion līguma pamata loģika bija kļūdaina: tā ļāva palielināt lietotāju atlikumus, vienlaikus pārvietojot līdzekļus, faktiski nenoguldot naudu.

Tika izmantoti abi BNB ķēdes (BSC) un Ethereum (ETH) mehānismi. Kopumā bija nepieciešami 0.4 BNB un 0.4 ETH, lai uzbrucējs iztukšotu protokolu par 1,757 ēteriem (ETH). No šīs summas 1,100 ēteri (ETH) jau ir atmazgāti, izmantojot Tornado Cash mikseri.

Kā jau iepriekš rakstīja U.Today, Orion Protocol ieguva iespaidīgu popularitāti 2021. gadā, kad tas tika paplašināts līdz BNB ķēdei (BSC), Polkadot (DOT) un Cardano (ADA), kļūstot par pirmo vairāku ķēžu likviditātes apkopotāju DeFi segmentā.

Orion ir drošs, lietotāju līdzekļi nav apdraudēti, saka izpilddirektors

Orion Protocol izpilddirektors Aleksejs Koloskovs pievērsās šim jautājumam detalizētā pēcnāves pavedienā. Pirmkārt, viņš uzsvēra, ka visi viņa platformas galalietotāju moduļi — Orion Pool, staking modulis, tilts, likviditātes nodrošinātāji un tirdzniecības dzinējs — šobrīd ir 100% droši.

Pēc tam viņš apliecināja, ka attiecīgais līgums nav īpaši svarīgs Orion protokolam un tam nav nekāda sakara ar tā galveno kodu bāzi:

Mums ir iemesls uzskatīt, ka problēmu izraisīja nevis kādi trūkumi mūsu pamata protokola kodā, bet gan ievainojamība, kas saistīta ar trešo pušu bibliotēku sajaukšanu vienā no viedajiem līgumiem, ko izmanto mūsu eksperimentālie un privātie brokeri.

Tādējādi viņa komanda nākotnē pāries uz "iekšējiem" viedajiem līgumiem, lai novērstu trešās puses koda dizaina trūkumu iespējamību.

Tāpat, ņemot vērā faktu, ka Orion ir “pārejošs” TVL, tas ir viens no mazāk atklātajiem protokoliem, kad runa ir par līgumu uzlaušanu, uzsvēra izpilddirektors Koloskovs.