V říjnu 2021 podlehla aplikace DeFi Mirror Protocol zneužití starého blockchainu Terra za 90 milionů dolarů – a až do minulého týdne to zůstalo zcela bez povšimnutí.
Zrcadlový protokol umožňoval uživatelům přijímat dlouhé nebo krátké pozice na technologických akciích pomocí syntetických aktiv. Byl postaven na Terra, která se zhroutila začátkem tohoto měsíce poté, co její hlavní stablecoin ztratil navázání na americký dolar a strhl s sebou i sesterský token Luna. (Blockchain byl nyní oživen jako Terra 2.0, zatímco původní řetězec žije dál jako Terra Classic).
Vykořisťování bylo objevil od člena komunity Terra a analytika s názvem „FatMan“. Byl jedním z nejhlasitějších antagonistů v nedávném spuštění nového blockchainu Terra.
Bezpečnostní firma BlockSec potvrzeno zjištění člena komunity analýzou konkrétní transakce zneužití. BlockSec potvrdil, že k zneužití skutečně došlo.
Jak k exploitu došlo?
Kdykoli chtěl někdo vsadit proti akciím na Mirror, musel zajištění zámku — včetně UST, LUNA Classic (LUNC) a mAssets — po dobu minimálně 14 dnů.
Po uzavření obchodu mohli uživatelé odemknout zajištění a uvolnit prostředky zpět do peněženky. To vše bylo provedeno pomocí inteligentních ID čísel generovaných smlouvou.
Kvůli chybnému kódu však smlouva o zámku Mirror údajně nedokázala zkontrolovat, když někdo použil stejné ID více než jednou k výběru prostředků.
V říjnu 2021 si jedna neznámá entita všimla, že by mohla použít seznam duplicitních ID k opakovanému odemknutí stokrát více zajištění, než měli. To v podstatě znamenalo, že pachatel mohl vybrat finanční prostředky bez jakéhokoli povolení.
Tato entita podle něj celkem odčerpala asi 90 milionů dolarů blockchainové záznamy.
Sedm měsíců bez povšimnutí
Zneužití Mirror může být jednou z mála událostí, kdy navzdory přítomnosti dat v řetězci zůstal velký hack dlouhou dobu neodhalen. Projekty obvykle rychle hlásí bezpečnostní události z důvodu transparentnosti.
BlockSec uvedl, že zneužití pravděpodobně zůstalo bez povšimnutí, protože méně lidí vyhledávalo problémy na Terra ve srovnání s Ethereem a řetězci kompatibilními s Ethereem.
Na webu Mirror navíc chybělo rozhraní, které by umožňovalo kontrolu celkové výše zajištění v protokolu. Díky tomu bylo mnohem těžší všimnout si zranitelnosti, aniž byste museli probírat velké množství blockchainových dat.
Začátkem tohoto měsíce vývojáři Mirror v tichosti opravili zranitelnost, přibližně ve stejnou dobu, kdy se UST stablecoin začal hroutit. O týden později po opravě se členové komunity začali zajímat, zda nemohlo dojít k exploitu, podle diskuse o správě. Není jasné, zda vývojáři Mirror věděli o exploitu.
Není to však poprvé, co se hack na krátkou dobu dostal pod radar. Když hackeři v březnu 600 ukradli 2022 milionů dolarů z postranního řetězce Ronin, uplynul týden, než si někdo uvědomil, že se to stalo. Až když uživatelé zjistili, že nejsou schopni vybrat své prostředky, někdo si uvědomil, že došlo k nedostatku.
Mirror Protocol, který je předmětem šetření SEC, se k této záležitosti zatím oficiálně nevyjádřil. Tým v Mirror nebo Terraform Labs zatím na žádost o komentář neodpověděl.
Chcete -li získat další zlomové příběhy, jako je tento, nezapomeňte sledovat The Block on X.
© 2022 The Block Crypto, Inc. Všechna práva vyhrazena. Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
Zdroj: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss