Compromission de clé admin d'Orange Finance
Orange Finance sur Arbitrum a perdu ~844 K$ après compromission de sa clé admin, utilisée pour altérer les stratégies et retirer les positions Uniswap v3.
- Date
- Victime
- Orange Finance
- Chaîne(s)
- Statut
- Fonds dérobés
Le 23 janvier 2024, le protocole de gestion de liquidité Arbitrum Orange Finance a perdu environ 844 000 dollars après que sa clé opérateur/admin a été compromise. L'attaquant a utilisé des fonctions admin légitimes pour modifier les contrats de stratégie et retirer les positions Uniswap-v3 gérées du protocole.
Ce qui s'est passé
Les stratégies LP automatisées d'Orange étaient contrôlées par une clé admin/opérateur. La clé a été compromise (vecteur non divulgué ; cohérent avec un vol d'endpoint/identifiants). L'attaquant a invoqué des fonctions privilégiées légitimes pour rediriger et retirer la liquidité gérée — aucun bug de contrat requis.
Conséquences
- Orange a mis en pause, permuté les clés et poursuivi une récupération limitée.
Pourquoi c'est important
Orange Finance est un autre petit point de données sur la plus grande ligne unique du catalogue : les clés admin/opérateur uniques sont le véritable modèle de sécurité indépendamment de la qualité du contrat. Il se trouve sur la même ligne qu'EasyFi (81 M$), Steadefi (1,14 M$), et Bybit (1,46 Md$) — six ordres de grandeur de perte, cause racine identique. La défense est invariante à l'échelle : signature uniquement par hardware wallet, multi-sig avec signataires indépendants, actions admin verrouillées dans le temps, et l'hypothèse opérationnelle que la machine de tout détenteur de clé unique est déjà compromise. Le montant diffère ; la leçon non.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-orange-finance-hack-january-2024
- [02]crypto.newshttps://crypto.news/arbitrums-largest-liquidity-manager-orange-finance-loses-840k-in-hacker-attack/
- [03]rekt.newshttps://rekt.news/orange-finance-rekt