Orange Finance ha avvisato tutti i suoi utenti di non interagire con i suoi contratti intelligenti su Arbitrum, poiché sono stati compromessi da un hacker. L’aggressore ha anche ritirato fondi da alcuni contratti, con perdite fino a circa 840.000 dollari.
I contratti intelligenti di Orange Finance sulla rete Arbitrum sono stati compromessi e i fondi sono stati rubati. Il progetto ha avvertito i suoi utenti di controllare i propri portafogli e di revocare qualsiasi autorizzazione per i contratti intelligenti per evitare perdite.
L'exploit arriva dopo un anno di picco di attività di phishing, con l'obiettivo di sfruttare i proprietari di portafogli e i team di progetto attraverso collegamenti o software dannosi. A questo punto non è chiaro come l’hacker sia riuscito a prendere il controllo dei portafogli e dei contratti multisig, nonché delle casseforti di liquidità.
L'aggressore è riuscito a prosciugare le casseforti di liquidità per ottenere token e stablecoin. Diversi indirizzi di caveau sono stati prosciugati, sebbene il protocollo conservi circa il 50% della sua liquidità.
Controlla il tuo portafoglio e revoca l'approvazione a Orange Finance. https://t.co/mEVJ8GTR8v
— Orange Finance (@0xOrangeFinance) 8 gennaio 2025
Orange Finance sta ancora indagando sulla natura dell'exploit
L'aggressore è riuscito a prendere il controllo del portafoglio amministrativo di Orange Finance, modificando il comportamento di tutti i contratti intelligenti. Molto probabilmente l'aggressore ha sfruttato la scarsa sicurezza del portafoglio multisig del progetto, che è stata trascurata nonostante i precedenti controlli di sicurezza.
Il team di Orange Finance ha inviato un messaggio on-chain all'hacker, suggerendo che i fondi potrebbero essere restituiti in cambio del trattamento dell'incidente come di un tentativo di cappello bianco.
Le perdite derivanti dalla presa del controllo dei depositi del progetto sono stimate a 840.000 dollari, anche se il risultato finale potrebbe essere più elevato. Gli asset rubati includevano stablecoin e WETH e sono stati tutti convertiti in ETH e già scambiati.
Orange Finance ha chiuso il suo caveau di stablecoin e ha avvertito di altri indirizzi potenzialmente compromessi. L'hacker aveva il pieno controllo dei trasferimenti e non ci sono precedenti che utilizzino semplicemente la logica stessa del contratto intelligente.
Il team sta ancora indagando sull'exploit e avvertendo gli utenti di non tentare di prelevare la liquidità rimanente.
Orange Finance è uno dei protocolli di aggregazione della liquidità più utilizzati su Arbitrum. Al suo apice, il progetto aveva un valore totale bloccato di 1,94 milioni di dollari . L'attacco non ha prosciugato completamente tutte le casseforti, poiché il protocollo trattiene circa 731.000 dollari.
Arbitrum trasporta più di 980 milioni di dollari in attività di trading DEX, con afflussi di liquidità da Ethereum. La catena L2 è una delle sedi più liquide per il trading DEX, grazie all’afflusso di stablecoin e alle commissioni di negoziazione estremamente basse.
Anche il protocollo Stryke è interessato
L'hacker ha anche sfruttato le casseforti del protocollo Stryke, colpendone il mercato di fornitura di liquidità. Il progetto ha affermato che le sue caratteristiche principali rimangono sicure e senza compromessi, ma ha temporaneamente interrotto tutte le sue attività su Arbitrum.
Orange Finance è un protocollo partner di Stryke, mirato specificamente alle attività di Arbitrum con liquidità concentrata. La stessa Stryke non ha perso fondi direttamente, al di fuori del numero limitato di depositi su Orange Finance.
Il problema più grande dei contratti intelligenti chiusi è che entrambi i protocolli hanno posizioni aperte, che possono essere liquidate in caso di volatilità del mercato. I fornitori di liquidità potrebbero subire perdite per alcune delle loro posizioni se il protocollo rimane chiuso. Gli utenti ricevono avvisi di transazioni non riuscite poiché non sono in grado di proteggere le proprie posizioni.
Il protocollo Stryke detiene circa 2,17 milioni di dollari di liquidità ed è un mercato relativamente minore per la liquidità. Il progetto, precedentemente noto come Dopex, scambia opzioni BTC, ETH, ARB e BOOP.
Stryke Protocol, come Orange Protocol, è ancora senza token, con punti ricompensati per l'attività. I protocolli non menzionano un imminente airdrop, ma potrebbero comunque attrarre utenti che si aspettano un token in futuro. Fortunatamente, l’hacking non ha influenzato nessun token esistente, poiché le perdite di mercato sono generalmente maggiori rispetto all’hacking stesso.
I protocolli sono interessanti perché offrono rendimenti più elevati in cambio di liquidità ad alcune delle principali coppie di trading. Stryke Protocol e OrangeProtocol stanno potenziando le attività sui principali DEX, tra cui Uniswap e PancakeSwap, concentrandosi su alcune delle coppie più attive e liquide. Il protocollo ha ottenuto pagamenti estremamente elevati per i caveau per compensare il potenziale rischio. Recentemente, alcuni depositi hanno portato più del 1.020% annualizzato ai fornitori di liquidità concentrata.
Da Zero a Web3 Pro: il tuo piano di lancio carriera di 90 giorni