유동성 풀이 중앙 집중식 거래소와 분산식 거래소 간에 안정적인 액세스 및 노출을 얻을 수 있도록 하는 분산 프로토콜인 Orion 프로토콜은 타사 라이브러리의 취약성으로 인해 익스플로잇의 대상이 되었습니다.
이 익스플로잇은 재진입 공격으로 실행되어 아직 확인되지 않은 위협 행위자가 암호화폐 거래소에서 3만 달러 이상을 빼돌릴 수 있었습니다. 공격의 정확한 특성은 아직 확인되지 않았지만 악의적인 공격자가 프로토콜에 통합된 타사 라이브러리 내의 정보 보안 취약성을 이용할 수 있었던 것으로 여겨집니다.
재진입 악용은 프로토콜의 스마트 계약 코드 내에서 취약점을 악용하여 반복 호출을 통해 기능에 반복적으로 액세스하고 기능을 조작하는 일종의 공격 벡터입니다. 이것은 내부 상태를 업데이트하기 직전에 계약에서 자금을 빼낼 의도로 위협 행위자가 배포합니다. 스마트 계약의 잠금 기능은 쉽게 사용할 수 없지만 밸런서 실행 중에 하드코딩될 수 있습니다. 이는 유형과 유사합니다. UniSwap에서 보고된 취약점 파리에 기반을 둔 블록체인 보안 회사인 Dedaub가 제공합니다.
이 문제에 대한 조사는 프로토콜 개발자에 의해 시작되었으며 경영진은 프로토콜 보안을 강화하기 위해 사전 조치를 취하고 있다고 약속했습니다.
"우리는 이 문제가 핵심 프로토콜 코드의 결점 때문이 아니라 실험 및 개인 브로커가 사용하는 스마트 계약 중 하나에서 타사 라이브러리를 혼합하는 취약점으로 인해 발생했을 수 있다고 믿을 만한 이유가 있습니다. ”라고 Orion Protocol의 CEO인 Alexey Koloskov는 말하면서 프로토콜 사용자에게 자금이 안전하다는 것을 확신시켰습니다.
블록체인 보안업체 펙쉴드(Peckshield)는 식별 및 공개 이 취약점은 문제에 대한 자세한 내용을 확인했으며 Orion Protocol 팀에서 근본 원인을 이미 해결한 상태에서 프로토콜이 일시 중지되었다고 말했습니다.
이 특정 사건은 다른 사례와 함께 재진입 공격 특히 스마트 계약 취약성이 발생할 수 있는 막대한 영향을 고려할 때 분산형 웹 전반에서 암호화 부문에서 정보 보안의 중요성을 상기시키는 역할을 합니다. 제XNUMX자 라이브러리의 통합은 사전 감사를 받거나 프로젝트 범위를 확장하기 위한 거래를 기반으로 할 수 있지만, 이러한 경우의 타협은 단순한 이익이나 가치 상승의 전망으로 결정할 수 없습니다: 사용자 보안 및 평화 마음이 먼저 와야 합니다.
면책 조항 :이 문서는 정보 제공 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 제공되거나 사용되도록 의도되지 않았습니다.
출처: https://cryptodaily.co.uk/2023/02/reentrancy-exploit-siphons-3m-off-orion-protocol