Exploit del puente Orbit Chain

En las primeras horas del 1 de enero de 2024 — UTC — el puente cross-chain coreano Orbit Chain fue drenado por aproximadamente $82 millones en stablecoins y activos envueltos. Fue el primer gran incidente del año y una continuación de la racha multianual de compromisos de puentes que comenzó con Ronin y Wormhole en 2022.

Qué ocurrió

El puente de Orbit Chain entre Ethereum y Klaytn estaba asegurado por un esquema multi-firma en el que un quórum de claves de firma en manos de operadores tenía que autorizar cada retiro cross-chain. El atacante obtuvo acceso a siete de diez claves de firma — suficiente para emitir pruebas de retiro válidas para cualquier activo mantenido en los contratos del puente.

Con las claves en mano, el atacante drenó las reservas del puente de USDT, USDC, ETH, WBTC y DAI en una secuencia de retiros en Ethereum, luego convirtió y movió los fondos a través de rutas estándar de blanqueo.

Consecuencias

• Orbit Chain pausó el puente y ofreció una recompensa white-hat del 10% por la devolución de los fondos, que quedó sin respuesta.
• Las fuerzas del orden coreanas abrieron una investigación; no se ha emitido atribución pública.
• Una pequeña porción de fondos fue congelada por exchanges durante el blanqueo; el grueso permaneció en las direcciones del atacante.

Por qué importa

Orbit fue una continuación de la lección de Ronin: un puente asegurado por un multi-sig N-de-M de claves de operador es exactamente tan seguro como la peor gestionada de esas claves. La respuesta de la industria — atestación basada en comités con slashing explícito (por ejemplo Across, LayerZero v2), o reemplazo de la atestación con modelos de única ejecución canónica — ya estaba en marcha cuando ocurrió Orbit, y se aceleró después.