Die Architektur des Orion-Protokolls wurde angegriffen, sagt Peckshield; CEO Koloskov behauptet, dass keine Benutzergelder betroffen sind
Inhalte
PeckShield, ein renommiertes Sicherheitsforschungsteam für Kryptowährungen, enthüllt das Design mutmaßlicher Angriffe auf das Orion-Protokoll. In der Zwischenzeit sagt sein Team, dass nur interne Gelder gefährdet waren.
Orion-Protokoll für 3 Millionen US-Dollar gehackt dank bekanntem Fehler: PeckShield
Laut der von PeckShield-Vertretern auf Twitter geteilten Erklärung wurde das Orion-Protokoll, eine beliebte Liquiditätsmaschine für CEXes und DEXes, heute, am 3. Februar 2023, einem Hackerangriff ausgesetzt.
1/ Wieder eine 3-Millionen-Dollar-Lektion aus dem Reentrancy-Bug! Der @orion_protokoll wird aufgrund eines Wiedereintrittsproblems in seinem Kernvertrag gehackt: ExchangeWithOrionPool. Beide eth/bsc-Bereitstellungen werden gehackt. Hier sind die beiden verwandten Hack-TXS: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8
- PeckShield Inc. (@peckshield) 3. Februar 2023
Darüber hinaus haben PeckShield-Experten diese Schwachstelle gestern gegenüber dem Team des Protokolls hervorgehoben. Die Kernvertragslogik von Orion war fehlerhaft: Sie ermöglichte es, das Guthaben der Benutzer zu erhöhen, während Gelder bewegt wurden, ohne tatsächlich Geld einzuzahlen.
Dabei wurden beide Mechanismen von BNB Chain (BSC) und Ethereum (ETH) ausgenutzt. Insgesamt brauchte ein Angreifer 0.4 BNB und 0.4 ETH, um das Protokoll für 1,757 Ether (ETH) zu entleeren. Von dieser Summe wurden bereits 1,100 Ether (ETH) durch Tornado Cash Mixer gewaschen.
Wie zuvor von U.Today berichtet, erlangte das Orion-Protokoll im Jahr 2021 eine beeindruckende Popularität, als es auf BNB Chain (BSC), Polkadot (DOT) und Cardano (ADA) ausgeweitet wurde und der erste Multi-Chain-Liquiditätsaggregator des DeFi-Segments wurde.
Orion ist sicher, keine Benutzergelder sind gefährdet, sagt der CEO
Alexey Koloskov, CEO von Orion Protocol, ging in einem ausführlichen Postmortem-Thread auf das Problem ein. Zunächst betonte er, dass alle Endbenutzermodule seiner Plattform – Orion Pool, Staking-Modul, Bridge, Liquiditätsanbieter und Handelsmaschine – derzeit zu 100 % sicher sind.
Dann versicherte er, dass der fragliche Vertrag für das Orion-Protokoll keine besondere Bedeutung habe und nichts mit seiner Kern-Codebasis zu tun habe:
Wir haben Grund zu der Annahme, dass das Problem nicht auf Mängel in unserem Kernprotokollcode zurückzuführen ist, sondern möglicherweise durch eine Schwachstelle beim Mischen von Bibliotheken von Drittanbietern in einem der Smart Contracts verursacht wurde, die von unseren experimentellen und privaten Brokern verwendet werden.
Daher wird sein Team in Zukunft auf „hausinterne“ Smart Contracts umsteigen, um die Möglichkeit von Designfehlern im Code von Drittanbietern zu beseitigen.
Aufgrund der Tatsache, dass Orion über „vorübergehende“ TVL verfügt, gehört es zu den weniger exponierten Protokollen, wenn es um Vertragshacks geht, betonte CEO Koloskov.
Quelle: https://u.today/orion-protocol-hacked-3-million-lost-heres-how