Compromiso de clave admin en Orange Finance
Orange Finance en Arbitrum perdió ~$844K tras comprometerse su clave admin, usada para alterar estrategias y retirar posiciones de Uniswap v3.
- Fecha
- Víctima
- Orange Finance
- Cadena(s)
- Estado
- Fondos robados
El 23 de enero de 2024, el protocolo de gestión de liquidez en Arbitrum Orange Finance perdió aproximadamente $844.000 después de que su clave de operador/admin fuera comprometida. El atacante usó funciones admin legítimas para modificar contratos de estrategia y retirar las posiciones gestionadas de Uniswap-v3 del protocolo.
Qué ocurrió
Las estrategias automatizadas de LP de Orange estaban controladas por una clave admin/operador. La clave fue comprometida (vector no divulgado; consistente con robo de credenciales/endpoint). El atacante invocó funciones privilegiadas legítimas para redirigir y retirar la liquidez gestionada — no se requirió bug de contrato.
Consecuencias
- Orange pausó, rotó claves y persiguió recuperación limitada.
Por qué importa
Orange Finance es un pequeño punto de datos más en la mayor línea individual del catálogo: las claves admin/operador únicas son el modelo de seguridad real independientemente de la calidad del contrato. Se sitúa en la misma línea que EasyFi ($81 M), Steadefi ($1,14 M) y Bybit ($1,46 B) — seis órdenes de magnitud de pérdida, causa raíz idéntica. La defensa es invariante a través de la escala: firma exclusiva con hardware wallet, multi-firma con firmantes independientes, acciones admin con timelock, y la suposición operativa de que la máquina de cualquier titular de clave única ya está comprometida. La cantidad difiere; la lección no.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-orange-finance-hack-january-2024
- [02]crypto.newshttps://crypto.news/arbitrums-largest-liquidity-manager-orange-finance-loses-840k-in-hacker-attack/
- [03]rekt.newshttps://rekt.news/orange-finance-rekt