2021 októberében a DeFi Mirror Protocol alkalmazás 90 millió dolláros kizsákmányolást végzett a régi Terra blokkláncon – és egészen a múlt hétig teljesen észrevétlen maradt.
A Mirror protokoll lehetővé tette a felhasználók számára, hogy hosszú vagy rövid pozíciókat vegyenek fel technológiai részvényeken szintetikus eszközök felhasználásával. A Terrára épült, amely a hónap elején összeomlott, miután fő stabil érméje elvesztette az amerikai dollárhoz való kötését, és magával rántotta testvére, Lunát. (A blokklánc most Terra 2.0 néven újjáéledt, míg az eredeti lánc Terra Classic néven él tovább).
A kizsákmányolás az volt felfedezett a Terra közösség egyik tagja és elemzője, „FatMan”. Ő volt az egyik leghangosabb antagonista az új Terra blokklánc nemrégiben történő bevezetésében.
BlockSec biztonsági cég alátámasztották a közösség tagjának megállapításait az adott hasznosítási tranzakció elemzésével. A BlockSec megerősítette, hogy valóban történt visszaélés.
Hogyan történt a kizsákmányolás?
Valahányszor valaki fogadni akart egy Mirror részvényre, muszáj volt zárfedezet – beleértve az UST-t, a LUNA Classicot (LUNC) és a mAsseteket – legalább 14 napig.
Az ügylet lezárása után a felhasználók feloldhatták a biztosítékot, hogy visszajussanak a pénztárcába. Mindez az intelligens szerződés alapján generált azonosítószámok segítségével történt.
A hibás kód miatt azonban a Mirror zárszerződése állítólag nem tudta ellenőrizni, ha valaki ugyanazt az azonosítót többször használta pénzfelvételre.
2021 októberében egy ismeretlen entitás észrevette, hogy az ismétlődő azonosítók listáját felhasználva több százszor több biztosítékot tudtak feloldani, mint amennyi volt. Ez alapvetően azt jelentette, hogy az elkövető engedély nélkül vehetett fel pénzt.
Ez a szervezet összesen mintegy 90 millió dollárt csapolt le blokklánc rekordok.
Hét hónapig észrevétlenül
A Mirror exploit egyike lehet azoknak a ritka eseményeknek, ahol a láncon belüli adatok jelenléte ellenére egy jelentős hack sokáig nyilvánosságra került. A projektek általában az átláthatóság kedvéért gyorsan jelentenek biztonsági eseményeket.
A BlockSec szerint a kizsákmányolás valószínűleg észrevétlen maradt, mert kevesebben kerestek problémákat a Terrán, mint az Ethereummal és az Ethereummal kompatibilis láncoknál.
Ráadásul a Mirror honlapján nem volt olyan felület, amely lehetővé tette volna a jegyzőkönyvben szereplő fedezetek teljes összegének ellenőrzését. Ez sokkal nehezebbé tette a sérülékenység észrevételét nagy mennyiségű blokklánc adat átvizsgálása nélkül.
A hónap elején a Mirror fejlesztői csendben kijavították a sebezhetőséget, nagyjából egy időben, amikor az UST stablecoin összeomlani kezdett. Egy héttel később a javítás után a közösség tagjai azon töprengtek, hogy történhetett-e kizsákmányolás egy kormányzási vita szerint. Nem világos, hogy a Mirror fejlesztői tudtak-e a kihasználásról.
Nem ez az első eset, hogy egy rövid időre feltörés a radar alá került. Amikor 600 márciusában a hackerek 2022 millió dollárt loptak el a Ronin oldalláncból, egy hét telt el, mire bárki észrevette, hogy ez megtörtént. Csak amikor a felhasználók rájöttek, hogy nem tudják kivenni a pénzüket, akkor valaki észrevette, hogy hiány van.
A Mirror Protocol, amely a SEC vizsgálatának tárgya, még nem kommentálta hivatalosan az ügyet. A Mirror vagy a Terraform Labs csapata még nem válaszolt a megjegyzéskérésre.
Ha további hasonló történeteket szeretne megtudni, kövesse a Blokkot Twitter.
© 2022 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss