فهرست
PeckShield، یک تیم تحقیقاتی امنیتی ارزهای دیجیتال معتبر، از طراحی حملات ادعایی علیه پروتکل Orion رونمایی کرد. در همین حال، تیم آن می گوید فقط سرمایه های داخلی در معرض خطر هستند.
پروتکل Orion به لطف باگ معروف PeckShield به قیمت 3 میلیون دلار هک شد
طبق بیانیه ای که توسط نمایندگان PeckShield در توییتر به اشتراک گذاشته شده است، Orion Protocol، یک ماشین نقدینگی محبوب برای CEX و DEX، امروز، 3 فوریه 2023، مورد حمله هکری قرار گرفت.
1/ دوباره، یک درس 3 میلیون دلاری از اشکال ورود مجدد! را @orion_protocol به دلیل مشکل ورود مجدد در قرارداد اصلی آن هک شده است: ExchangeWithOrionPool. هر دو استقرار eth/bsc هک شده اند. در اینجا دو هک tx مرتبط هستند: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8
— PeckShield Inc. (@peckshield) 3 فوریه 2023
علاوه بر این، دیروز، کارشناسان PeckShield این آسیب پذیری را برای تیم پروتکل برجسته کردند. منطق قرارداد اصلی Orion ناقص بود: اجازه می داد موجودی کاربر افزایش یابد، در حالی که وجوه را بدون واریز پول منتقل می کرد.
هر دو مکانیسم زنجیره BNB (BSC) و اتریوم (ETH) مورد بهره برداری قرار گرفتند. در مجموع، 0.4 BNB و 0.4 ETH طول کشید تا یک مهاجم پروتکل 1757 اتر (ETH) را تخلیه کند. از این مبلغ، 1100 اتر (ETH) قبلاً از طریق میکسر Tornado Cash شسته شده است.
همانطور که قبلاً توسط U.Today پوشش داده شد، پروتکل Orion در سال 2021 با گسترش به زنجیره BNB (BSC)، Polkadot (DOT) و Cardano (ADA) محبوبیت چشمگیری به دست آورد و به اولین تجمیع کننده نقدینگی چند زنجیره ای در بخش DeFi تبدیل شد.
مدیرعامل می گوید اوریون امن است و هیچ وجوهی برای کاربر در خطر نیست
الکسی کولوسکوف، مدیرعامل پروتکل Orion به این موضوع در یک موضوع پس از مرگ مفصل اشاره کرد. ابتدا، او تاکید کرد که همه ماژولهای کاربر نهایی پلتفرم او – Orion Pool، ماژول staking، bridge، ارائهدهندگان نقدینگی و موتور معاملاتی – در حال حاضر 100٪ ایمن هستند.
سپس، او اطمینان داد که قرارداد مورد بحث برای پروتکل Orion اهمیت خاصی ندارد و ربطی به پایگاه کد اصلی آن ندارد:
ما دلایلی داریم که باور کنیم این مشکل نتیجه هیچ نقصی در کد پروتکل اصلی ما نبوده است، بلکه ممکن است ناشی از آسیبپذیری در اختلاط کتابخانههای شخص ثالث در یکی از قراردادهای هوشمند مورد استفاده کارگزاران تجربی و خصوصی ما باشد.
به این ترتیب، در آینده، تیم او قصد دارد به قراردادهای هوشمند «داخلی» روی بیاورد تا احتمال نقص طراحی در کد شخص ثالث را برطرف کند.
همچنین، با توجه به این واقعیت که Orion دارای TVL “گذرا” است، در میان پروتکلهای کمتر در معرض هک قراردادی قرار دارد، مدیرعامل کولوسکوف تاکید کرد.
