Протокол Orion взломан, потеряно 3 миллиона долларов: вот как

Содержание:

• Протокол Orion взломан на 3 миллиона долларов благодаря известному багу: PeckShield
• По словам генерального директора, Orion безопасен, средства пользователей не подвержены риску.

PeckShield, авторитетная исследовательская группа по безопасности криптовалюты, раскрывает схему предполагаемых атак на протокол Orion. Между тем, его команда говорит, что риску подверглись только внутренние средства.

Протокол Orion взломан на 3 миллиона долларов благодаря известному багу: PeckShield

Согласно заявлению, распространенному представителями PeckShield в Twitter, Orion Protocol, популярная машина ликвидности для CEX и DEX, сегодня, 3 февраля 2023 г., подверглась хакерской атаке.

1/ Опять же, урок на 3 миллиона долларов от ошибки повторного входа! @orion_protocol взломан из-за проблемы с повторным входом в его основной контракт: ExchangeWithOrionPool. Оба развертывания eth/bsc взломаны. Вот два связанных хакерских txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) 3 февраля 2023

Более того, вчера специалисты PeckShield указали на эту уязвимость команде протокола. Основная логика контракта Orion была ошибочной: она позволяла увеличивать баланс пользователей при перемещении средств без фактического внесения денег.

Были использованы оба механизма BNB Chain (BSC) и Ethereum (ETH). В общей сложности злоумышленнику потребовалось 0.4 BNB и 0.4 ETH, чтобы слить протокол на 1,757 эфиров (ETH). Из этой суммы 1,100 эфиров (ETH) уже отмыты через миксер Tornado Cash.

Как сообщалось U.Today ранее, протокол Orion приобрел впечатляющую популярность в 2021 году, когда он расширился до BNB Chain (BSC), Polkadot (DOT) и Cardano (ADA), став первым агрегатором ликвидности с несколькими цепочками в сегменте DeFi.

По словам генерального директора, Orion безопасен, средства пользователей не подвержены риску.

Генеральный директор Orion Protocol Алексей Колосков рассказал об этом в подробной ветке вскрытия. Во-первых, он подчеркнул, что все модули конечного пользователя его платформы — Orion Pool, модуль ставок, бридж, поставщики ликвидности и торговый механизм — сейчас на 100% безопасны.

Затем он заверил, что рассматриваемый контракт не имеет особого значения для протокола Orion и не имеет ничего общего с его основной кодовой базой:

У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а могла быть вызвана уязвимостью при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами.

Таким образом, в будущем его команда собирается перейти на «внутренние» смарт-контракты, чтобы устранить возможность конструктивных недостатков в стороннем коде.

Также из-за того, что Orion имеет «переходный» TVL, он входит в число наименее уязвимых протоколов, когда речь идет о взломе контрактов, подчеркнул гендиректор Колосков.