Протоколот на Орион хакиран, изгубени 3 милиони долари: Еве како

содржина

• Протоколот Орион хакиран за 3 милиони долари благодарение на добро познатата грешка: PeckShield
• Орион е безбеден, нема ризични средства од корисниците, вели извршниот директор

PeckShield, реномиран истражувачки тим за безбедност на криптовалути, го открива дизајнот на наводните напади против протоколот Орион. Во меѓувреме, неговиот тим вели дека само внатрешните средства биле загрозени.

Протоколот Орион хакиран за 3 милиони долари благодарение на добро познатата грешка: PeckShield

Според изјавата што ја споделија претставниците на PeckShield на Twitter, Orion Protocol, популарна машина за ликвидност за CEX и DEX, претрпе хакерски напад денес, 3 февруари 2023 година.

1/ Повторно, лекција од 3 милиони долари од бубачката за повторно влегување! На @orion_protocol е хакиран поради проблем со повторното влегување во неговиот основен договор: ExchangeWithOrionPool. И двете распоредувања на eth/bsc се хакирани. Еве ги двата поврзани хакерски txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Февруари 3, 2023

Покрај тоа, вчера, експертите на PeckShield ја истакнаа оваа ранливост на тимот на протоколот. Основната логика на договорите на Орион беше погрешна: дозволуваше да се зголемат салдото на корисниците, притоа преместувајќи ги средствата без всушност да депонира пари.

Беа искористени и двата механизми на BNB Chain (BSC) и Ethereum (ETH). Севкупно, на напаѓачот му беа потребни 0.4 BNB и 0.4 ETH да го исцеди протоколот за 1,757 етери (ETH). Од оваа сума, 1,100 етери (ETH) веќе се испрани преку миксер Торнадо Кеш.

Како што претходно беше покриено со U.Today, Orion Protocol стекна импресивна популарност во 2021 година, кога се прошири на BNB Chain (BSC), Polkadot (DOT) и Cardano (ADA), станувајќи првиот мулти-синџирски агрегатор на ликвидност во сегментот DeFi.

Орион е безбеден, нема ризични средства од корисниците, вели извршниот директор

Извршниот директор на Орион Протокол Алексеј Колосков се осврна на ова прашање во детална постмортална нишка. Прво, тој истакна дека сите модули за крајни корисници на неговата платформа - Orion Pool, модул за улоги, мост, даватели на ликвидност и мотор за тргување - се 100% безбедни во моментов.

Потоа, тој увери дека предметниот договор не е од особена важност за Орион протоколот и нема никаква врска со неговата основна база на кодови:

Имаме причини да веруваме дека проблемот не е резултат на какви било недостатоци во нашиот јасен протоколски код, туку можеби е предизвикан од ранливост во мешањето библиотеки од трети страни во еден од паметните договори што ги користат нашите експериментални и приватни брокери.

Како таков, во иднина, неговиот тим ќе се префрли на „внатрешни“ паметни договори за да ја отстрани можноста за недостатоци во дизајнот во кодот од трета страна.

Исто така, поради фактот што Орион има „минлив“ ТВЛ, тој е меѓу помалку изложените протоколи кога станува збор за договорни хакери, нагласи извршниот директор Колосков.