Orange Finance Admin-Schlüssel-Kompromiss
Orange Finance auf Arbitrum verlor ~844.000 $, nachdem sein Admin-Schlüssel Strategie-Verträge änderte und Uniswap-v3-Positionen abzog.
- Datum
- Opfer
- Orange Finance
- Chain(s)
- Status
- Mittel entwendet
Am 23. Januar 2024 verlor das Arbitrum-Liquiditätsmanagement-Protokoll Orange Finance etwa 844.000 $, nachdem sein Operator-/Admin-Schlüssel kompromittiert wurde. Der Angreifer nutzte legitime Admin-Funktionen, um Strategie-Verträge zu ändern und die vom Protokoll verwalteten Uniswap-v3-Positionen abzuziehen.
Was geschah
Oranges automatisierte LP-Strategien wurden von einem Admin-/Operator-Schlüssel kontrolliert. Der Schlüssel wurde kompromittiert (Vektor nicht offengelegt; konsistent mit Endpoint-/Anmeldedaten-Diebstahl). Der Angreifer rief legitime privilegierte Funktionen auf, um verwaltete Liquidität umzuleiten und abzuheben — kein Vertrags-Bug erforderlich.
Folgen
- Orange pausierte, rotierte Schlüssel und verfolgte begrenzte Wiederherstellung.
Warum es wichtig ist
Orange Finance ist ein weiterer kleiner Datenpunkt auf der größten einzelnen Linie des Katalogs: Einzelne Admin-/Operator-Schlüssel sind das tatsächliche Sicherheitsmodell, unabhängig von der Vertragsqualität. Es liegt auf derselben Linie wie EasyFi (81 Mio. $), Steadefi (1,14 Mio. $) und Bybit (1,46 Mrd. $) — sechs Größenordnungen Verlust, identische Grundursache. Die Verteidigung ist über die Skala hinweg invariant: Nur-Hardware-Wallet-Signierung, Multi-Sig mit unabhängigen Signierern, zeitgesperrte Admin-Aktionen und die Annahme, dass die Maschine jedes einzelnen Schlüsselinhabers bereits kompromittiert ist. Der Betrag unterscheidet sich; die Lektion nicht.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-orange-finance-hack-january-2024
- [02]crypto.newshttps://crypto.news/arbitrums-largest-liquidity-manager-orange-finance-loses-840k-in-hacker-attack/
- [03]rekt.newshttps://rekt.news/orange-finance-rekt