Mirror Protocol, aplikace DeFi postavená na starém blockchainu Terra, byla v říjnu 90 napadena exploitem za 2021 milionů dolarů a až do minulého týdne zůstala zcela neobjevena. Útočníkovi se podařilo odemknout kolaterál z protokolu několikrát, přičemž pokaždé zaplatil jen malý poplatek.
Terra's DeFi zaútočila před sedmi měsíci
Drahé zneužití Terra DeFi nebylo hlášeno sedm měsíců až do minulého týdne. Mirror Protocol, postavený na blockchainu Terra, umožnil uživatelům využívat syntetická aktiva k zaujímání dlouhých nebo krátkých pozic v technologických akciích.
Operační mechanismus protokolu byl však napaden za 90 milionů dolarů. Útok DeFi řetězce Terra byl poprvé nalezen minulý týden členem komunity Terra a analytikem jménem „FatMan“ a nyní byl potvrzen bezpečnostními analytiky BlockSec.
Členové komunity odkrytý slabina v kódu Mirror Protocol 17. května, což hackerovi umožnilo odčerpat až 90 milionů $ od 8. října 2021.
Podle FatMana, který říká objevil hack prostřednictvím „čisté náhody“, útočník ukradl 89,706,164.03 XNUMX XNUMX $ z protokolu díky exploitu, který jim umožnil odemykat kolaterál ze smlouvy o zámku „znovu a znovu s malými náklady a nulovým rizikem“.
Statistika Terra Classic on-chain odhalil že útočník byl schopen uvolnit prostředky UST z protokolu mnohokrát v rámci stejné transakce za pouhých 17.54 $ pokaždé.
Studiem přesného zneužití transakce bezpečnostní firma BlockSec potvrzeno zjištění člena komunity.
Jak se to stalo
Aby uživatelé mohli vsadit proti akciím na Mirror, musí zajistit zajištění alespoň na čtrnáct dní. Původní digitální měna Terra, LUNA, byla součástí tohoto kolaterálu (nyní LUNA Classic nebo LUNC). Zapojeny byly také mAssets a dnes již neexistující stablecoiny UST.
Uživatelé mohli po dokončení obchodu odemknout zajištění a vrátit peníze do svých peněženek.
Kromě toho tomuto postupu napomohlo použití inteligentních ID čísel generovaných smlouvou. Uzamykací smlouva Mirror Protocol však nedokázala zkontrolovat, zda uživatel dříve použil stejné ID k výběru prostředků kvůli přítomnosti chyby.
Související čtení Thajsko se připravuje na digitální ekonomiku, do konce roku 2023 odstraňuje kryptopřevody z DPH
Smlouva o zámku Mirror však zjevně nedokázala zkontrolovat, když někdo použil stejné ID k výběru prostředků mnohokrát kvůli chybě v kódu.
V říjnu 2021 neznámá entita zjistila, že seznam duplicitních ID lze použít k opakovanému odemknutí stokrát většího množství zajištění, než měli. To v podstatě znamenalo, že zločinec může vybírat finanční prostředky bez povolení.
Nový útok
30. května, jen pár dní po objevu, byl protokol DeFi znovu zaměřen.
Podle přehledy, nejnovější hack byl vyvolán chybou v nastavení cenových věštců společnosti, která umožnila útočníkovi využít cenového rozdílu mezi starými tokeny LUNC a novými tokeny LUNA.
Na uzlech Terra běžel zastaralý věštecký software, který umožňoval útok. Podle člena komunity Chainlink, který útok objevil, hacker ukradl z protokolu více než 2 miliony dolarů.
Terra/USD se konsoliduje po téměř nulové havárii. Zdroj: TradingView
Není to poprvé, co hack zůstal na krátkou dobu bez povšimnutí. V březnu 2022 hackeři ukradli 600 milionů dolarů z postranního řetězce Ronin a trvalo týden, než si toho někdo všiml. Až uživatelé objevil nemohli vybrat své peníze, že si někdo uvědomil, že je problém.
Mirror Protocol, což je je vyšetřován Komise pro cenné papíry a burzu se k situaci ještě oficiálně nevyjádřila.
Tým Mirror Protocol dosud nevydal prohlášení týkající se exploitu, což vyvolalo pobouření komunity. FatMan na druhou stranu věří, že existují „přesvědčivé důkazy“, že hacker byl zasvěcený.
I když toto není první exploit DeFi v historii, je to ten, jehož objevení trvalo nejdéle. Terra je pod velkým dohledem, protože tlak se hromadí.
Související čtení Ne tak Velká čínská zeď: Jak Čína selhala při zákazu těžby bitcoinů
Doporučený obrázek ze Shutterstock a graf z TradingView.com
Zdroj: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/