Ang arkitektura ng Orion Protocol ay inatake, sabi ng Peckshield; Sinasabi ng CEO Koloskov na walang apektadong pondo ng gumagamit
Nilalaman
Ang PeckShield, isang kagalang-galang na pangkat ng pananaliksik sa seguridad ng cryptocurrency, ay nagbubunyag ng disenyo ng mga sinasabing pag-atake laban sa Orion Protocol. Samantala, sinabi ng koponan nito na mga panloob na pondo lamang ang nasa panganib.
Ang Orion Protocol ay na-hack ng $3 milyon salamat sa kilalang bug: PeckShield
Ayon sa pahayag na ibinahagi ng mga kinatawan ng PeckShield sa Twitter, ang Orion Protocol, isang sikat na liquidity machine para sa mga CEX at DEX, ay dumanas ng pag-atake ng hacker ngayong araw, Peb. 3, 2023.
1/ Muli, isang $3M na aral mula sa reentrancy bug! Ang @orion_protocol ay na-hack dahil sa isang isyu sa muling pagpasok sa pangunahing kontrata nito: ExchangeWithOrionPool. Parehong na-hack ang eth/bsc deployment. Narito ang dalawang nauugnay na hack txs: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8
- PeckShield Inc. (@peckshield) Pebrero 3, 2023
Bukod dito, kahapon, itinampok ng mga eksperto ng PeckShield ang kahinaang ito sa koponan ng protocol. Ang pangunahing lohika ng kontrata ng Orion ay may depekto: pinahintulutan nitong tumaas ang mga balanse ng user, habang naglilipat ng mga pondo nang hindi aktwal na nagdedeposito ng pera.
Ang parehong mekanismo ng BNB Chain (BSC) at Ethereum (ETH) ay pinagsamantalahan. Sa kabuuan, tumagal ng 0.4 BNB at 0.4 ETH para sa isang umaatake upang maubos ang protocol para sa 1,757 Ethers (ETH). Mula sa halagang ito, 1,100 Ethers (ETH) ang na-launder na sa pamamagitan ng Tornado Cash mixer.
Gaya ng saklaw ng U.Today dati, ang Orion Protocol ay nakakuha ng kahanga-hangang katanyagan noong 2021 nang lumawak ito sa BNB Chain (BSC), Polkadot (DOT) at Cardano (ADA), na naging unang multi-chain liquidity aggregator ng DeFi segment.
Ang Orion ay ligtas, walang mga pondo ng gumagamit na nasa panganib, sabi ng CEO
Tinalakay ng Orion Protocol CEO Alexey Koloskov ang isyu sa isang detalyadong postmortem thread. Una, idiniin niya na ang lahat ng end-user module ng kanyang platform — Orion Pool, staking module, bridge, liquidity providers at trading engine — ay 100% secure sa ngayon.
Pagkatapos, tiniyak niya na ang kontratang pinag-uusapan ay hindi partikular na kahalagahan para sa Orion Protocol at walang kinalaman sa core codebase nito:
Mayroon kaming mga dahilan upang maniwala na ang isyu ay hindi resulta ng anumang mga pagkukulang sa aming pangunahing protocol code, ngunit sa halip ay maaaring sanhi ng kahinaan sa paghahalo ng mga third-party na library sa isa sa mga matalinong kontrata na ginagamit ng aming mga eksperimental at pribadong broker.
Dahil dito, sa hinaharap, lilipat ang kanyang koponan sa mga "in-house" na smart contract para alisin ang posibilidad ng mga bahid ng disenyo sa third-party na code.
Gayundin, dahil sa ang katunayan na ang Orion ay may "lumilipas" na TVL, ito ay kabilang sa mga hindi gaanong nakalantad na mga protocol pagdating sa mga pag-hack ng kontrata, idiniin ni CEO Koloskov.
Pinagmulan: https://u.today/orion-protocol-hacked-3-million-lost-heres-how