A Orange Finance alertou todos os seus usuários para não interagirem com seus contratos inteligentes na Arbitrum, pois eles foram comprometidos por um hacker. O invasor também retirou fundos de alguns dos contratos, com perdas de até cerca de US$ 840 mil.

Os contratos inteligentes da Orange Finance na rede Arbitrum foram comprometidos e fundos foram roubados. O projeto alertou seus usuários para verificarem suas carteiras e revogarem quaisquer permissões para contratos inteligentes para evitar perdas.

O exploit chega após um ano de pico de atividade de phishing, visando explorar proprietários de carteiras e equipes de projeto por meio de links ou software maliciosos. Neste ponto, é incerto como o hacker conseguiu obter o controle das carteiras e contratos multisig, bem como dos cofres de liquidez.

O invasor conseguiu drenar cofres de liquidez para tokens e stablecoins. Vários endereços de cofre foram drenados, embora o protocolo retenha cerca de 50% de sua liquidez.

Por favor, verifique sua carteira e revogue as aprovações para a Orange Finance. https://t.co/mEVJ8GTR8v

— Orange Finance🍊 (@0xOrangeFinance) 8 de janeiro de 2025

A Orange Finance ainda está investigando a natureza da exploração

O invasor conseguiu obter o controle da carteira de administração da Orange Finance, alterando o comportamento de todos os contratos inteligentes. O invasor provavelmente explorou a baixa segurança na carteira multisig do projeto, que foi ignorada apesar das auditorias de segurança anteriores.

A equipe da Orange Finance enviou uma mensagem on-chain ao hacker, sugerindo que os fundos poderiam ser devolvidos em troca de tratar o acidente como uma tentativa de white hat.

As perdas por assumir o controle dos cofres do projeto são estimadas em US$ 840.000, embora o resultado final possa ser maior. Os ativos roubados incluíam stablecoins e WETH, e todos foram convertidos para ETH e já negociados.

A Orange Finance fechou seu cofre de stablecoins e alertou sobre outros endereços potencialmente comprometidos. O hacker tinha controle total das transferências, e não há registros de simplesmente usar a lógica do próprio contrato inteligente.

A equipe ainda está investigando a exploração e alertando os usuários para que não tentem sacar nenhuma liquidez restante.

Orange Finance é um dos protocolos de agregação de liquidez mais usados ​​no Arbitrum. No seu pico, o projeto detinha US$ 1,94 milhões em valor total bloqueado. O ataque não drenou totalmente todos os cofres, pois o protocolo retém cerca de US$ 731 mil.

A Arbitrum carrega mais de $980 milhões em atividade de negociação DEX, com entradas de liquidez do Ethereum. A cadeia L2 é um dos locais mais líquidos para negociação DEX, devido à entrada de stablecoins e às taxas de negociação extremamente baixas.

Protocolo Stryke também afetado

O hacker também explorou os cofres do Stryke Protocol, atingindo seu mercado de provisão de liquidez. O projeto alegou que seus principais recursos permanecem seguros e não comprometidos, mas interrompeu temporariamente todas as suas atividades no Arbitrum.

Orange Finance é um protocolo parceiro da Stryke, visando especificamente atividades de Arbitrum com liquidez concentrada. A Stryke em si não perdeu fundos diretamente, fora do número limitado de cofres na Orange Finance.

O maior problema dos contratos inteligentes fechados é que ambos os protocolos têm posições abertas, que podem ser liquidadas em casos de volatilidade do mercado. Os provedores de liquidez podem incorrer em perdas para algumas de suas posições se o protocolo permanecer fechado. Os usuários estão recebendo notificações de transações com falha, pois não conseguem proteger suas posições.

O Stryke Protocol detém cerca de $2,17M em liquidez, e é um mercado relativamente menor para liquidez. O projeto, anteriormente conhecido como Dopex, negocia opções de BTC, ETH, ARB e BOOP.

O Stryke Protocol, assim como o Orange Protocol, ainda é sem tokens, com pontos recompensados ​​pela atividade. Os protocolos não mencionaram um airdrop futuro, mas ainda podem atrair usuários esperando um token no futuro. Felizmente, o hack não afetou nenhum token existente, já que as perdas de mercado são geralmente maiores em comparação ao hack em si.

Os protocolos são atraentes por oferecer retornos mais altos em troca de liquidez para alguns dos principais pares de negociação. O Stryke Protocol e o OrangeProtocol estão impulsionando as atividades em grandes DEXs, incluindo Uniswap e PancakeSwap, focando em alguns dos pares mais ativos e líquidos. O protocolo alcançou pagamentos extremamente altos para os cofres para compensar o risco potencial. Recentemente, alguns dos cofres trouxeram mais de 1.020% anualizados para os provedores de liquidez concentrada.

Do Zero ao Web3 Pro: Seu Plano de Lançamento de Carreira de 90 Dias