Orbit Chain подвергся атаке с убытками около 80 миллионов долларов, инцидент безопасности в начале года вызвал тревогу

В начале 2024 года платформа кросс-цепочного моста Orbit Chain столкнулась с серьезным инцидентом безопасности, сумма потерь составила около 80 миллионов долларов США. Согласно данным платформы мониторинга безопасности, злоумышленники начали небольшое вторжение за день до этого и использовали украденные ETH для обеспечения комиссионных расходов для последующей крупномасштабной атаки.

Orbit Chain как платформа для межцепочечных взаимодействий с активами позволяет пользователям использовать различные криптоактивы между различными блокчейнами. В настоящее время команда проекта приостановила соответствующие функции контрактов и пытается наладить связь с атакующими.

Эксперты по безопасности проанализировали и обнаружили, что основная причина инцидента заключается в том, что злоумышленники напрямую вызвали функцию withdraw контракта моста Orbit Chain, тем самым переведя активы. Дальнейшие исследования показали, что эта функция использует механизм проверки подписи для обеспечения легитимности перевода активов.

Управление контрактом осуществляется 10 адресами, и для выполнения операции вывода требуется подпись как минимум 7 администраторов (70%). Поэтому данная атака, вероятно, произошла из-за того, что сервер, на котором хранятся личные ключи администраторов, подвергся атаке мошенничества.

В процессе атаки хакеры сначала 30 декабря похитили небольшое количество ETH и распределили его по нескольким адресам в качестве комиссии за последующие атаки. Затем вечером 31 декабря несколько хакерских адресов одновременно начали масштабную атаку на активы проекта Orbit Chain, включая DAI, WBTC, ETH, USDC и USDT.

На сегодняшний день похищенные средства были переведены на пять различных адресов. Среди них стабильные монеты на сумму 50 миллионов долларов (30 миллионов Tether, 10 миллионов DAI и 10 миллионов USDC), 231 wBTC (примерно 10 миллионов долларов) и 9500 ETH (примерно 21.5 миллиона долларов).

Это событие вновь подчеркивает важность безопасности блокчейн-систем. При разработке и реализации блокчейн-проектов безопасность всегда должна оставаться первоочередным фактором. Разработчики должны особенно уделять внимание безопасности кода контрактов, строго следовать лучшим практикам и стандартам безопасности, избегать распространенных уязвимостей. В то же время важно укрепить механизмы аутентификации и верификации личности; использование многофакторной подписи и строгого управления правами доступа может эффективно предотвратить несанкционированный доступ и утечку активов.