Orion Protocol, protokol terdesentralisasi yang membolehkan kumpulan kecairan mendapat akses dan pendedahan yang boleh dipercayai antara bursa terpusat dan terdesentralisasi, telah mengalami eksploitasi disebabkan oleh kelemahan daripada perpustakaan pihak ketiga.
Eksploitasi itu dilaksanakan sebagai serangan masuk semula, membenarkan pelakon ancaman yang belum dikenal pasti menyedut lebih $3 juta daripada pertukaran kripto. Sifat tepat serangan itu masih belum disahkan, tetapi dipercayai pelakon yang berniat jahat dapat mengambil kesempatan daripada kelemahan keselamatan maklumat dalam perpustakaan pihak ketiga yang disepadukan dengan protokol.
Eksploit kemasukan semula ialah sejenis vektor serangan yang mengeksploitasi kelemahan dari dalam kod kontrak pintar protokol untuk mengakses dan memanipulasi fungsi berulang kali dengan panggilan berulang. Ini digunakan oleh pelaku ancaman dengan niat untuk menghabiskan dana daripada kontrak, sejurus sebelum ia boleh mengemas kini keadaan dalamannya. Fungsi kunci pada kontrak pintar tidak tersedia, tetapi boleh dikod keras semasa pelaksanaan pengimbangnya. Ini serupa dengan jenis kerentanan dilaporkan di UniSwap oleh Dedaub, firma keselamatan blockchain yang berpangkalan di Paris.
Siasatan terhadap perkara itu telah dimulakan oleh pembangun protokol, manakala pengurusannya telah berjanji bahawa mereka telah mengambil langkah proaktif untuk memastikan protokol itu lebih lanjut.
“Kami mempunyai sebab untuk mempercayai bahawa isu itu bukan akibat daripada sebarang kekurangan dalam kod protokol teras kami, tetapi mungkin disebabkan oleh kelemahan dalam mencampurkan perpustakaan pihak ketiga dalam salah satu kontrak pintar yang digunakan oleh broker eksperimen dan swasta kami. ,” kata Alexey Koloskov, Ketua Pegawai Eksekutif Orion Protocol, sambil juga memberi jaminan kepada pengguna protokol bahawa dana mereka selamat.
Firma keselamatan rantaian blok Peckshield, yang pertama dikenal pasti dan didedahkan kelemahan telah mengesahkan butiran lanjut mengenai perkara itu, dan mengatakan bahawa protokol itu telah dijeda, dengan puncanya sudah ditangani oleh pasukan Orion Protocol.
Insiden khusus ini, di samping kejadian lain serangan masuk semula merentas web terdesentralisasi, berfungsi sebagai peringatan tentang kepentingan keselamatan maklumat dalam sektor kripto, terutamanya memandangkan implikasi besar yang boleh dimainkan oleh kelemahan kontrak pintar. Penyepaduan perpustakaan pihak ketiga mungkin sama ada telah diaudit atau berdasarkan perjanjian untuk meluaskan jangkauan projek, tetapi tolak ansur dalam kes ini tidak boleh diputuskan dengan prospek keuntungan semata-mata atau peningkatan dalam penilaian: keselamatan dan keamanan pengguna fikiran mesti diutamakan.
Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.
Sumber: https://cryptodaily.co.uk/2023/02/reentrancy-exploit-siphons-3m-off-orion-protocol