Пратакол Orion узламаны, страчана 3 мільёны долараў: вось як

змест

• Orion Protocol узламаны на 3 мільёны долараў дзякуючы добра вядомай памылцы: PeckShield
• Orion бяспечны, сродкі карыстальнікаў не падвяргаюцца рызыцы, кажа генеральны дырэктар

PeckShield, аўтарытэтная даследчая група па бяспецы крыптавалют, раскрывае схему меркаваных нападаў на Orion Protocol. Між тым, яго каманда кажа, што толькі ўнутраныя сродкі былі пад пагрозай.

Orion Protocol узламаны на 3 мільёны долараў дзякуючы добра вядомай памылцы: PeckShield

Згодна з заявай, распаўсюджанай прадстаўнікамі PeckShield у Twitter, Orion Protocol, папулярная машына ліквіднасці для CEX і DEX, падверглася хакерскай атацы сёння, 3 лютага 2023 г.

1/ Зноў жа, урок у 3 мільёны долараў па памылцы паўторнага ўваходу! The @orion_protocol узламаны з-за праблемы паўторнага доступу ў яго асноўным кантракце: ExchangeWithOrionPool. Абодва разгортвання eth/bsc узламаныя. Вось два звязаныя хакі tx: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Люты 3, 2023

Больш за тое, учора эксперты PeckShield падкрэслілі гэтую ўразлівасць камандзе пратакола. Асноўная логіка кантракту Orion мела недахопы: яна дазваляла павялічваць балансы карыстальнікаў, адначасова перамяшчаючы сродкі без фактычнага ўнясення грошай.

Выкарыстоўваліся абодва механізмы BNB Chain (BSC) і Ethereum (ETH). У агульнай складанасці зламысніку спатрэбілася 0.4 BNB і 0.4 ETH, каб зліць пратакол на 1,757 эфіраў (ETH). З гэтай сумы 1,100 эфіраў (ETH) ужо былі адмытыя праз міксер Tornado Cash.

Як паведамляў U.Today раней, Orion Protocol набыў уражлівую папулярнасць у 2021 годзе, калі ён пашырыўся на BNB Chain (BSC), Polkadot (DOT) і Cardano (ADA), стаўшы першым шматланцуговым агрэгатарам ліквіднасці ў сегменце DeFi.

Orion бяспечны, сродкі карыстальнікаў не падвяргаюцца рызыцы, кажа генеральны дырэктар

Генеральны дырэктар Orion Protocol Аляксей Каласков распавёў аб гэтай праблеме ў падрабязнай пасмяротнай тэме. Па-першае, ён падкрэсліў, што ўсе модулі канчатковага карыстальніка яго платформы — Orion Pool, модуль стэкінгу, брыдж, пастаўшчыкі ліквіднасці і механізм гандлю — зараз на 100% бяспечныя.

Затым ён запэўніў, што разгляданы кантракт не мае асаблівага значэння для Orion Protocol і не мае ніякага дачынення да яго асноўнай кодавай базе:

У нас ёсць падставы меркаваць, што праблема не была вынікам якіх-небудзь недахопаў у нашым асноўным кодзе пратаколу, а магла быць выклікана ўразлівасцю ў змешванні старонніх бібліятэк у адным са смарт-кантрактаў, якія выкарыстоўваюцца нашымі эксперыментальнымі і прыватнымі брокерамі.

Такім чынам, у будучыні яго каманда збіраецца перайсці на «ўнутраныя» смарт-кантракты, каб ліквідаваць магчымасць дызайнерскіх недахопаў у староннім кодзе.

Акрамя таго, з-за таго, што Orion мае «пераходны» TVL, ён уваходзіць у лік менш падвержаных пратаколаў, калі справа даходзіць да ўзлому кантрактаў, падкрэсліў генеральны дырэктар Калоскава.