Az Orion-protokoll feltörve, 3 millió dollár elveszett: Íme, hogyan

tartalom

• Az Orion Protocol 3 millió dollárért tört fel a jól ismert hibának, a PeckShieldnek köszönhetően
• Az Orion biztonságos, a felhasználói források nincsenek veszélyben, mondja a vezérigazgató

A PeckShield, egy jó hírű kriptovaluta biztonsági kutatócsoport bemutatja az Orion Protocol elleni állítólagos támadások tervét. Eközben csapata szerint csak a belső alapok voltak veszélyben.

Az Orion Protocol 3 millió dollárért tört fel a jól ismert hibának, a PeckShieldnek köszönhetően

A PeckShield képviselői által a Twitteren megosztott nyilatkozat szerint az Orion Protocol, a CEX-ek és DEX-ek népszerű likviditási gépe ma, 3. február 2023-án hackertámadást szenvedett el.

1/ Ismét egy 3 millió dolláros tanulság a visszatérési hibából! A @orion_protocol Az ExchangeWithOrionPool alapszerződésében szereplő visszatérési probléma miatt feltörték. Mindkét eth/bsc telepítést feltörték. Íme a két kapcsolódó hack tx: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Február 3, 2023

Ráadásul tegnap a PeckShield szakértői rávilágítottak erre a sebezhetőségre a protokoll csapatának. Az Orion alapvető szerződéses logikája hibás volt: lehetővé tette a felhasználói egyenlegek növekedését, miközben pénzeszközöket mozgatott anélkül, hogy ténylegesen befizetett volna pénzt.

A BNB Chain (BSC) és az Ethereum (ETH) mindkét mechanizmusát kihasználták. Összesen 0.4 BNB-re és 0.4 ETH-ra volt szüksége egy támadónak, hogy lemerítse 1,757 éter (ETH) protokollját. Ebből az összegből 1,100 étert (ETH) már kimostak a Tornado Cash keverőn keresztül.

Amint azt az U.Today korábban ismertette, az Orion Protocol lenyűgöző népszerűségre tett szert 2021-ben, amikor a BNB Chain (BSC), a Polkadot (DOT) és a Cardano (ADA) piacokra bővült, így a DeFi szegmens első többláncos likviditási aggregátora lett.

Az Orion biztonságos, a felhasználói források nincsenek veszélyben, mondja a vezérigazgató

Az Orion Protocol vezérigazgatója, Alekszej Koloskov részletes postmortem szálban foglalkozott a kérdéssel. Először is hangsúlyozta, hogy platformjának minden végfelhasználói modulja – az Orion Pool, a befektetési modul, a híd, a likviditásszolgáltatók és a kereskedési motor – jelenleg 100%-ban biztonságos.

Aztán biztosította, hogy a szóban forgó szerződésnek nincs különösebb jelentősége az Orion Protocol számára, és semmi köze annak alapvető kódbázisához:

Okunk van azt hinni, hogy a problémát nem az alapvető protokollkódunk hiányosságai okozták, hanem inkább a harmadik féltől származó könyvtárak keverésével kapcsolatos biztonsági rés okozhatta a kísérleti és privát brókereink által használt egyik intelligens szerződésben.

Ennek megfelelően csapata a jövőben „házon belüli” intelligens szerződésekre fog áttérni, hogy kiküszöbölje a harmadik féltől származó kódok tervezési hibáinak lehetőségét.

Továbbá, mivel az Orionnak „tranziens” TVL-je van, a kevésbé kitett protokollok közé tartozik a szerződések feltörését illetően – hangsúlyozta Koloskov vezérigazgató.