Orange Finance advirtió a todos sus usuarios que no interactúen con sus contratos inteligentes en Arbitrum, ya que han sido comprometidos por un hacker. El atacante también retiró fondos de algunos de los contratos, con pérdidas de hasta aproximadamente $840K.

Los contratos inteligentes de Orange Finance en la red Arbitrum se han visto comprometidos y se han robado fondos. El proyecto advirtió a sus usuarios que revisen sus billeteras y revoquen cualquier permiso para los contratos inteligentes para evitar pérdidas.

El exploit llega después de un año de actividad pico de phishing, con el objetivo de explotar a los propietarios de carteras y equipos de proyectos a través de enlaces o software maliciosos. En este momento, no se sabe con certeza cómo el hacker logró obtener el control de las carteras y contratos multisig, así como de las bóvedas de liquidez.

El atacante logró vaciar las bóvedas de liquidez de tokens y monedas estables. Se vaciaron varias direcciones de bóvedas, aunque el protocolo conserva alrededor del 50% de su liquidez.

Por favor revise su billetera y revoque las aprobaciones a Orange Finance. https://t.co/mEVJ8GTR8v

— Orange Finance🍊 (@0xOrangeFinance) 8 de enero de 2025

Orange Finance todavía está investigando la naturaleza del exploit

El atacante logró obtener el control de la billetera de administración de Orange Finance, lo que cambió el comportamiento de todos los contratos inteligentes. Lo más probable es que el atacante haya aprovechado la baja seguridad en la billetera multifirma del proyecto, que se pasó por alto a pesar de las auditorías de seguridad anteriores.

El equipo de Orange Finance envió un mensaje en cadena al pirata informático, sugiriendo que los fondos podrían ser devueltos a cambio de tratar el accidente como un intento de fraude blanco.

Las pérdidas por tomar el control de las bóvedas del proyecto se estiman en 840.000 dólares, aunque el resultado final puede ser mayor. Los activos robados incluían monedas estables y WETH, y todos se han convertido a ETH y ya se han comercializado.

Orange Finance ha cerrado su bóveda de monedas estables y ha advertido de otras direcciones potencialmente comprometidas. El hacker tenía el control total de las transferencias y no hay registros de que simplemente haya utilizado la propia lógica del contrato inteligente.

El equipo todavía está investigando el exploit y advierte a los usuarios que no intenten retirar cualquier liquidez restante.

Orange Finance es uno de los protocolos de agregación de liquidez más utilizados en Arbitrum. En su apogeo, el proyecto tenía bloqueados 1,94 millones de dólares en valor total. El ataque no agotó por completo todas las bóvedas, ya que el protocolo retiene alrededor de 731.000 dólares.

Arbitrum tiene una actividad comercial de DEX de más de 980 millones de dólares, con entradas de liquidez de Ethereum. La cadena L2 es uno de los lugares más líquidos para el comercio de DEX, debido a la entrada de monedas estables y las tarifas comerciales extremadamente bajas.

El Protocolo Stryke también se vio afectado

El hacker también explotó las bóvedas de Stryke Protocol, atacando su mercado de provisión de liquidez. El proyecto afirmó que sus principales características siguen siendo seguras y sin compromisos, pero ha detenido temporalmente toda su actividad en Arbitrum.

Orange Finance es un protocolo asociado a Stryke, que apunta específicamente a las actividades de Arbitrum con liquidez concentrada. Stryke en sí no ha perdido fondos directamente, fuera del número limitado de bóvedas en Orange Finance.

El mayor problema de los contratos inteligentes cerrados es que ambos protocolos tienen posiciones abiertas, que pueden liquidarse en casos de volatilidad del mercado. Los proveedores de liquidez pueden incurrir en pérdidas en algunas de sus posiciones si el protocolo permanece cerrado. Los usuarios reciben avisos de transacciones fallidas porque no pueden asegurar sus posiciones.

Stryke Protocol posee alrededor de 2,17 millones de dólares en liquidez y es un mercado relativamente menor en términos de liquidez. El proyecto, anteriormente conocido como Dopex, comercializa opciones de BTC, ETH, ARB y BOOP.

El protocolo Stryke, al igual que el protocolo Orange, aún no tiene tokens, y se otorgan puntos por la actividad. Los protocolos no han mencionado un lanzamiento aéreo próximo, pero aún pueden atraer a usuarios que esperan un token en el futuro. Afortunadamente, el hackeo no afectó a ningún token existente, ya que las pérdidas del mercado suelen ser mayores en comparación con el hackeo en sí.

Los protocolos son atractivos porque ofrecen mayores retornos a cambio de liquidez para algunos de los pares comerciales clave. Stryke Protocol y OrangeProtocol están impulsando las actividades en los principales DEX, incluidos Uniswap y PancakeSwap, centrándose en algunos de los pares más activos y líquidos. El protocolo logró pagos extremadamente altos para las bóvedas para compensar el riesgo potencial. Recientemente, algunas de las bóvedas aportaron más del 1.020% anualizado a los proveedores de liquidez concentrada.

De cero a profesional de la Web3: tu plan de lanzamiento profesional de 90 días