A Mirror Protocolt, a régi Terra blokkláncra épülő DeFi alkalmazást 90 októberében egy 2021 millió dolláros exploit támadta meg, és egészen a múlt hétig teljesen felderítetlen maradt. A támadó többször is feloldotta a fedezetet a protokollból, miközben minden alkalommal csak egy kis díjat fizetett.
A Terra DeFi-je hét hónappal ezelőtt támadt
Egy drága Terra DeFi kizsákmányolásról hét hónapig nem számoltak be, egészen a múlt hétig. A Terra blokkláncra épülő Mirror Protocol lehetővé tette a felhasználók számára, hogy szintetikus eszközöket alkalmazzanak hosszú vagy rövid pozíciók elfoglalására technológiai részvényekben.
A protokoll működési mechanizmusát azonban 90 millió dollárért feltörték. A Terra lánc DeFi támadást a múlt héten találta meg először a Terra közösség egyik tagja és „FatMan” elemzője, és most a BlockSec biztonsági elemzők is megerősítették.
A közösség tagjai fedetlen a Mirror Protocol kódjának gyengesége május 17-én, ami lehetővé tette egy hacker számára, hogy 90. október 8-tól akár 2021 millió dollárt is elszívjon.
FatMan szerint aki azt mondja, a feltörést „tiszta szerénységből” fedezte fel, a támadó 89,706,164.03 XNUMX XNUMX dollárt lopott el a protokollból egy olyan kihasználásnak köszönhetően, amely lehetővé tette számukra, hogy „kis költséggel és nulla kockázattal újra és újra feloldják a zárolási szerződés fedezetét”.
A Terra Classic on-chain statisztikák kiderült hogy a támadó ugyanazon tranzakción belül többször is fel tudta szabadítani az UST-forrásokat a protokollból, minden alkalommal mindössze 17.54 dollárért.
A pontos hasznosítási tranzakció tanulmányozásával a BlockSec biztonsági cég megerősített a közösség tagjának megállapításait.
Hogyan történt
A felhasználóknak legalább tizennégy napig zárolniuk kell a biztosítékot, hogy a Mirror részvényeire fogadhassanak. Az eredeti Terra digitális valutát, a LUNA-t a biztosíték tartalmazza (jelenleg LUNA Classic vagy LUNC). A mAssets és a mára megszűnt stablecoin UST is érintett volt.
A kereskedés befejezése után a felhasználók feloldhatták a biztosítékot, és visszaküldhették a pénzt a pénztárcájukba.
Ezen túlmenően az intelligens szerződés által generált azonosítószámok használata segítette ezt az eljárást. A Mirror Protocol zárszerződése azonban hiba miatt nem tudta ellenőrizni, hogy a felhasználó korábban ugyanazt az azonosítót használta-e pénzfelvételre.
Kapcsolódó olvasmányok Thaiföld készen áll a digitális gazdaságra, 2023 végéig kivonja az áfa alól a kriptotranszfereket
A Mirror zárszerződése azonban láthatóan nem ellenőrizte, hogy valaki ugyanazt az azonosítót használta-e sokszor pénzfelvételre a kód hibája miatt.
2021 októberében egy azonosítatlan entitás felfedezte, hogy az ismétlődő azonosítók listája felhasználható arra, hogy ismételten több százszor több biztosítékot tudjon feloldani, mint amennyi volt. Ez lényegében azt jelentette, hogy a bűnöző engedély nélkül pénzt vonhat ki.
Új támadás
Május 30-án, néhány nappal a felfedezés után, ismét a DeFi protokollt vették célba.
Szerint jelentések A legújabb feltörést a vállalat ár-orákulumának beállítási hibája idézte elő, amely lehetővé tette a támadó számára, hogy kihasználja a régi LUNC és az új LUNA tokenek közötti árkülönbséget.
A Terra csomópontokon elavult Oracle szoftver futott, ami lehetővé tette a támadást. A támadást felfedező Chainlink közösség tagja szerint a hacker több mint 2 millió dollárt lopott el a protokollból.
A Terra/USD konszolidálódik a nullához közeli összeomlás után. Forrás: TradingView
Nem ez az első alkalom, hogy egy hack rövid ideig észrevétlen marad. 2022 márciusában hackerek 600 millió dollárt loptak el a Ronin oldalláncból, és egy hétbe telt, mire bárki észrevette. Egészen a felhasználókig felfedezett nem tudták kivenni a pénzüket, mert bárki rájött, hogy probléma van.
Mirror Protocol, ami az vizsgálják Az Értékpapír- és Tőzsdefelügyelet még nem tett hivatalos nyilatkozatot a helyzetről.
A Mirror Protocol csapata még nem adott ki közleményt a visszaélésről, ami a közösség felháborodását váltja ki. A FatMan viszont úgy véli, hogy „meggyőző bizonyítékok” vannak arra vonatkozóan, hogy a hacker bennfentes volt.
Noha nem ez az első DeFi-exploit a történelemben, ez az, aminek felfedezése a legtovább tartott. A Terra nagyon sok vizsgálat alatt áll, mivel a nyomás halmozódik.
Kapcsolódó olvasmányok Nem olyan nagy fal: Kína szerencsétlenül betiltotta a Bitcoin bányászatát
Kiemelt kép a Shutterstocktól és diagram a TradingView.com-tól
Forrás: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/