Проект Orbit Chain зазнав масованої атаки, збитки досягли 80 мільйонів доларів США
На початку нового року 2024 року кросчейн-мостова платформа Orbit Chain зазнала серйозної безпекової події, втрати оцінюються в 80 мільйонів доларів США. Згідно з даними платформи моніторингу безпеки, зловмисники почали маломасштабні пробні атаки ще за день до цього і використали вкрадені невелику кількість ETH для покриття транзакційних зборів для подальшої масштабної атаки.
Orbit Chain як кросчейн-платформа, що дозволяє користувачам переміщувати криптоактиви між різними блокчейнами, безсумнівно, зазнала серйозного удару внаслідок атаки, яка негативно вплинула на її операційну діяльність та довіру користувачів. Наразі команда проекту вжила термінових заходів, призупинивши функціонування кросчейн-мосту, та намагається зв'язатися з атакуючими.
Аналіз методів атаки
Цей напад в основному здійснювався шляхом прямого виклику функції withdraw контракту мосту Orbit Chain для переміщення активів. Глибокий аналіз показав, що ця функція використовує механізм перевірки підписів для забезпечення легітимності зняття коштів. У блокчейн-транзакціях перевірка підписів є поширеним заходом безпеки, що використовується для підтвердження особи та повноважень ініціатора транзакції.
Дизайн функції withdraw вимагає, щоб принаймні 70% адміністраторів (тобто 7 з 10 адміністраторів) підписали транзакцію на зняття, щоб її виконати. Цей механізм багатопідпису повинен був забезпечити високий рівень безпеки, але в цій події його вдалося успішно обійти зловмисникам.
Часова лінія атаки
30 грудня 2023 року, 15:39:35 (UTC), зловмисники почали проводити невелику пробну атаку.
31 грудня 2023 року о 21:00 (UTC) кілька адрес атакуючих одночасно розпочали масовану атаку на активи проекту Orbit Chain, такі як DAI, WBTC, ETH, USDC та USDT.
Напрямок викрадених коштів
Зловмисник розподілить вкрадені кошти на п'ять різних адрес, зокрема:
30 мільйонів доларів США Tether (USDT)
10 мільйонів доларів США DAI
10 мільйонів доларів США в USDC
близько 231 wBTC (вартістю приблизно 10 мільйонів доларів США)
близько 9500 ETH (вартість приблизно 2150 тисяч доларів США)
Безпекові підказки
Ця подія ще раз підкреслює важливість безпеки проектів на блокчейні, зокрема міжланцюгових мостів у їхньому дизайні безпеки:
Безпека коду є надзвичайно важливою. Код контракту, як основа блокчейн-системи, повинен суворо дотримуватися стандартів безпеки та найкращих практик, щоб уникнути поширених вразливостей.
Досконала система управління правами доступу та автентифікації є ключем до захисту активів. Багаторазові підписи, суворий контроль доступу та інші заходи можуть ефективно знизити ризики несанкціонованих операцій.
Постійний моніторинг безпеки та швидка реакція є критично важливими для своєчасного виявлення та обробки потенційних загроз.
Регулярне проведення аудиту безпеки та своєчасне виправлення виявлених вразливостей є необхідними заходами для підтримки довгострокової безпеки системи.
Ця подія безумовно спрацювала як дзвінок для всієї криптовалютної індустрії, нагадуючи всім сторонам, що під час прагнення до інновацій безпека завжди повинна бути на першому місці.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 лайків
Нагородити
12
7
Поділіться
Прокоментувати
0/400
TooScaredToSell
· 15год тому
Знову вибухнуло, знову вибухнуло
Переглянути оригіналвідповісти на0
GateUser-e87b21ee
· 15год тому
Все ще уразливість підпису, яка вже за рахунком?
Переглянути оригіналвідповісти на0
Ramen_Until_Rich
· 15год тому
Ще один! Ай-ай-ай~
Переглянути оригіналвідповісти на0
P2ENotWorking
· 15год тому
невдахи обдурювати людей, як лохів гарний день
Переглянути оригіналвідповісти на0
GasDevourer
· 16год тому
Головою в стіну знову хтось шукає дірки, одне слово? Втрата!
Orbit Chain зазнав атаки на 80 мільйонів доларів, було вкрадено багато монет.
Проект Orbit Chain зазнав масованої атаки, збитки досягли 80 мільйонів доларів США
На початку нового року 2024 року кросчейн-мостова платформа Orbit Chain зазнала серйозної безпекової події, втрати оцінюються в 80 мільйонів доларів США. Згідно з даними платформи моніторингу безпеки, зловмисники почали маломасштабні пробні атаки ще за день до цього і використали вкрадені невелику кількість ETH для покриття транзакційних зборів для подальшої масштабної атаки.
Orbit Chain як кросчейн-платформа, що дозволяє користувачам переміщувати криптоактиви між різними блокчейнами, безсумнівно, зазнала серйозного удару внаслідок атаки, яка негативно вплинула на її операційну діяльність та довіру користувачів. Наразі команда проекту вжила термінових заходів, призупинивши функціонування кросчейн-мосту, та намагається зв'язатися з атакуючими.
Аналіз методів атаки
Цей напад в основному здійснювався шляхом прямого виклику функції withdraw контракту мосту Orbit Chain для переміщення активів. Глибокий аналіз показав, що ця функція використовує механізм перевірки підписів для забезпечення легітимності зняття коштів. У блокчейн-транзакціях перевірка підписів є поширеним заходом безпеки, що використовується для підтвердження особи та повноважень ініціатора транзакції.
Дизайн функції withdraw вимагає, щоб принаймні 70% адміністраторів (тобто 7 з 10 адміністраторів) підписали транзакцію на зняття, щоб її виконати. Цей механізм багатопідпису повинен був забезпечити високий рівень безпеки, але в цій події його вдалося успішно обійти зловмисникам.
Часова лінія атаки
Напрямок викрадених коштів
Зловмисник розподілить вкрадені кошти на п'ять різних адрес, зокрема:
Безпекові підказки
Ця подія ще раз підкреслює важливість безпеки проектів на блокчейні, зокрема міжланцюгових мостів у їхньому дизайні безпеки:
Безпека коду є надзвичайно важливою. Код контракту, як основа блокчейн-системи, повинен суворо дотримуватися стандартів безпеки та найкращих практик, щоб уникнути поширених вразливостей.
Досконала система управління правами доступу та автентифікації є ключем до захисту активів. Багаторазові підписи, суворий контроль доступу та інші заходи можуть ефективно знизити ризики несанкціонованих операцій.
Постійний моніторинг безпеки та швидка реакція є критично важливими для своєчасного виявлення та обробки потенційних загроз.
Регулярне проведення аудиту безпеки та своєчасне виправлення виявлених вразливостей є необхідними заходами для підтримки довгострокової безпеки системи.
Ця подія безумовно спрацювала як дзвінок для всієї криптовалютної індустрії, нагадуючи всім сторонам, що під час прагнення до інновацій безпека завжди повинна бути на першому місці.