По словам Пекшилда, архитектура протокола Orion подверглась атаке; Генеральный директор Колосков утверждает, что средства пользователей не пострадали
Содержание:
PeckShield, авторитетная исследовательская группа по безопасности криптовалюты, раскрывает схему предполагаемых атак на протокол Orion. Между тем, его команда говорит, что риску подверглись только внутренние средства.
Протокол Orion взломан на 3 миллиона долларов благодаря известному багу: PeckShield
Согласно заявлению, распространенному представителями PeckShield в Twitter, Orion Protocol, популярная машина ликвидности для CEX и DEX, сегодня, 3 февраля 2023 г., подверглась хакерской атаке.
1/ Опять же, урок на 3 миллиона долларов от ошибки повторного входа! @orion_protocol взломан из-за проблемы с повторным входом в его основной контракт: ExchangeWithOrionPool. Оба развертывания eth/bsc взломаны. Вот два связанных хакерских txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8
- PeckShield Inc. (@peckshield) 3 февраля 2023
Более того, вчера специалисты PeckShield указали на эту уязвимость команде протокола. Основная логика контракта Orion была ошибочной: она позволяла увеличивать баланс пользователей при перемещении средств без фактического внесения денег.
Были использованы оба механизма BNB Chain (BSC) и Ethereum (ETH). В общей сложности злоумышленнику потребовалось 0.4 BNB и 0.4 ETH, чтобы слить протокол на 1,757 эфиров (ETH). Из этой суммы 1,100 эфиров (ETH) уже отмыты через миксер Tornado Cash.
Как сообщалось U.Today ранее, протокол Orion приобрел впечатляющую популярность в 2021 году, когда он расширился до BNB Chain (BSC), Polkadot (DOT) и Cardano (ADA), став первым агрегатором ликвидности с несколькими цепочками в сегменте DeFi.
По словам генерального директора, Orion безопасен, средства пользователей не подвержены риску.
Генеральный директор Orion Protocol Алексей Колосков рассказал об этом в подробной ветке вскрытия. Во-первых, он подчеркнул, что все модули конечного пользователя его платформы — Orion Pool, модуль ставок, бридж, поставщики ликвидности и торговый механизм — сейчас на 100% безопасны.
Затем он заверил, что рассматриваемый контракт не имеет особого значения для протокола Orion и не имеет ничего общего с его основной кодовой базой:
У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а могла быть вызвана уязвимостью при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами.
Таким образом, в будущем его команда собирается перейти на «внутренние» смарт-контракты, чтобы устранить возможность конструктивных недостатков в стороннем коде.
Также из-за того, что Orion имеет «переходный» TVL, он входит в число наименее уязвимых протоколов, когда речь идет о взломе контрактов, подчеркнул гендиректор Колосков.
Источник: https://u.today/orion-protocol-hacked-3-million-lost-heres-how