Nền tảng trao đổi phi tập trung Giao thức Orion đã bị hack 3 triệu đô la do các vấn đề đăng nhập lại từ các thư viện của bên thứ ba.
Giao thức Orion được thiết kế để cho phép người dùng truy cập vào nhóm thanh khoản trên các sàn giao dịch tập trung và phi tập trung ngay từ ví không giam giữ của họ.
Tuy nhiên, một vấn đề reentrancy không hoàn chỉnh đã khiến giao thức bị tấn công bởi một hacker đã đánh cắp khoảng 3 triệu đô la, công ty chứng khoán tấm chắn báo cáo vào ngày 3 tháng 1.
Tin tặc đã liên tục gọi chức năng “depositAsset” khiến hợp đồng bị khai thác. Nó bắt đầu với khoản tài trợ ban đầu là 0,4BNB từ Tornado Cash cho Orion và 0,4ETH khác thông qua SimpleSwap.
Tin tặc đã chuyển sang rút khoảng 1100 ETH qua Tornado Cash và khóa khoảng 657 ETH trong địa chỉ ví của anh ta.
Giám đốc điều hành Giao thức Orion Alexey Koloskov đã xác nhận vụ hack trong một Chủ đề Twitter, nói rằng vụ hack là do một lỗ hổng trong các thư viện của bên thứ ba được sử dụng trong quá trình phát triển của Orion.
Tuy nhiên, Koloskov tuyên bố rằng số tiền bị đánh cắp là từ Kho bạc của Orion, đồng thời nói thêm rằng tất cả tiền của người dùng đều an toàn.
“Chúng tôi muốn trấn an người dùng của mình rằng không có người dùng nào gặp phải bất kỳ tổn thất nào trong sự cố này. Các tài sản gặp rủi ro nằm trong tài khoản của nhà môi giới nội bộ do chính chúng tôi điều hành – nhóm Orion.”
Để ngăn chặn các lỗ hổng tiềm ẩn từ các thư viện của bên thứ ba, Koloskov nói rằng nhóm Orion sẽ ưu tiên phát triển tất cả các hợp đồng của mình trong nội bộ.
