Az Orion Protocol, egy decentralizált protokoll, amely lehetővé teszi a likviditási poolok számára, hogy megbízható hozzáférést és kitettséget kapjanak a központosított és decentralizált tőzsdék között, harmadik féltől származó könyvtárak sebezhetősége miatt kizsákmányolták.
A kizsákmányolást visszatérési támadásként hajtották végre, lehetővé téve a még azonosítatlan fenyegetés szereplői számára, hogy több mint 3 millió dollárt szívjanak ki a kriptotőzsdéről. A támadás pontos természetét még nem erősítették meg, de úgy vélik, hogy egy rosszindulatú szereplő ki tudta használni a protokollba integrált, harmadik féltől származó könyvtárak információbiztonsági sebezhetőségeit.
A reentrancy exploit egyfajta támadási vektor, amely a protokoll intelligens szerződési kódjában található sebezhetőséget használja ki, hogy ismétlődő hívással ismételten hozzáférjen és manipuláljon funkciókat. Ezt a fenyegetés szereplői alkalmazzák azzal a szándékkal, hogy pénzeszközöket vonjanak el egy szerződésből, közvetlenül azelőtt, hogy frissíthetné belső állapotát. Az intelligens szerződések zárolási funkciói nem érhetők el azonnal, de a kiegyenlítő végrehajtása során kódolhatók. Ez hasonló a típushoz sérülékenységet jelentett az UniSwap Dedaub, egy párizsi székhelyű blokklánc-biztonsági cég.
Az ügyben a protokoll fejlesztői vizsgálatot indítottak, a menedzsment pedig azt ígérte, hogy proaktív lépéseket tesznek a protokoll további biztonsága érdekében.
„Okkal feltételezhetjük, hogy a problémát nem az alapvető protokollkódunk hiányosságai okozták, hanem inkább a harmadik féltől származó könyvtárak keverésének sérülékenysége okozhatta a kísérleti és privát brókereink által használt egyik intelligens szerződésben. ” – mondta Alekszej Koloskov, az Orion Protocol vezérigazgatója, miközben biztosította a protokoll felhasználóit, hogy pénzeszközeik biztonságban vannak.
Blockchain biztonsági cég, a Peckshield, amely az első azonosítani és nyilvánosságra hozni A sérülékenység megerősítette az üggyel kapcsolatos további részleteket, és azt mondta, hogy a protokollt felfüggesztették, és az Orion Protocol csapata már foglalkozott a kiváltó okkal.
Ez a konkrét esemény, más esetekkel együtt visszatérő támadások a decentralizált weben, emlékeztetőül szolgál az információbiztonság fontosságára a kriptográfiai szektorban, különös tekintettel arra, hogy az intelligens szerződések sebezhetőségei milyen hatalmas következményekkel járhatnak. A harmadik féltől származó könyvtárak integrációja vagy előzetesen auditált, vagy a projekt hatókörének kiterjesztését célzó ügyletek alapján történhet, de ezekben az esetekben a kompromisszum nem dönthető el puszta haszon vagy az értékelés növekedésének kilátásával: felhasználói biztonság és béke az elme legyen az első.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2023/02/reentrancy-exploit-siphons-3m-off-orion-protocol