Protokol Orion Diretas, Hilang $3 Juta: Begini Caranya

Konten

• Orion Protocol diretas seharga $3 juta berkat bug terkenal: PeckShield
• Orion aman, tidak ada dana pengguna yang berisiko, kata CEO

PeckShield, tim peneliti keamanan mata uang kripto terkemuka, mengungkap rancangan dugaan serangan terhadap Protokol Orion. Sementara itu, timnya mengatakan hanya dana internal yang berisiko.

Orion Protocol diretas seharga $3 juta berkat bug terkenal: PeckShield

Menurut pernyataan yang dibagikan oleh perwakilan PeckShield di Twitter, Orion Protocol, mesin likuiditas populer untuk CEX dan DEX, mengalami serangan peretas hari ini, 3 Februari 2023.

1/ Sekali lagi, pelajaran $3 juta dari bug reentrancy! Itu @tokopedia diretas karena masalah reentrancy dalam kontrak intinya: ExchangeWithOrionPool. Kedua penyebaran eth/bsc diretas. Berikut adalah dua hack txs terkait: https://t.co/YvRIRq6T57https://t.co/GbexocEZAo https://t.co/lF13kbMkA8

- PeckShield Inc. (@peckshield) Februari 3, 2023

Selain itu, kemarin, pakar PeckShield menyoroti kerentanan ini kepada tim protokol. Logika kontrak inti Orion cacat: memungkinkan saldo pengguna meningkat, sambil memindahkan dana tanpa benar-benar menyetor uang.

Kedua mekanisme Rantai BNB (BSC) dan Ethereum (ETH) dieksploitasi. Secara total, butuh 0.4 BNB dan 0.4 ETH bagi penyerang untuk menghabiskan 1,757 Ether (ETH) protokol. Dari jumlah ini, 1,100 Ether (ETH) telah dicuci melalui Tornado Cash mixer.

Seperti yang diliput oleh U.Today sebelumnya, Orion Protocol mendapatkan popularitas yang mengesankan pada tahun 2021 ketika diperluas ke BNB Chain (BSC), Polkadot (DOT), dan Cardano (ADA), menjadi agregator likuiditas multi-rantai pertama dari segmen DeFi.

Orion aman, tidak ada dana pengguna yang berisiko, kata CEO

CEO Orion Protocol Alexey Koloskov membahas masalah ini dalam utas postmortem yang terperinci. Pertama, dia menekankan bahwa semua modul pengguna akhir dari platformnya — Orion Pool, modul staking, jembatan, penyedia likuiditas, dan mesin perdagangan — saat ini 100% aman.

Kemudian, dia meyakinkan bahwa kontrak yang dimaksud tidak terlalu penting untuk Protokol Orion dan tidak ada hubungannya dengan basis kode intinya:

Kami memiliki alasan untuk meyakini bahwa masalah ini bukan akibat dari kekurangan apa pun dalam kode protokol inti kami, tetapi mungkin disebabkan oleh kerentanan dalam menggabungkan perpustakaan pihak ketiga di salah satu kontrak pintar yang digunakan oleh broker eksperimental dan swasta kami.

Dengan demikian, di masa mendatang, timnya akan beralih ke kontrak pintar "in-house" untuk menghilangkan kemungkinan cacat desain pada kode pihak ketiga.

Selain itu, karena fakta bahwa Orion memiliki TVL "sementara", itu adalah salah satu protokol yang kurang terekspos dalam hal peretasan kontrak, CEO Koloskov menekankan.