Mirror Protocol, o aplicație DeFi construită pe vechiul blockchain Terra, a fost atacată de un exploit de 90 de milioane de dolari în octombrie 2021 și a rămas complet nedescoperită până săptămâna trecută. Atacatorul a reușit să deblocheze garanția din protocol de mai multe ori, plătind doar o mică taxă de fiecare dată.
DeFi-ul lui Terra a fost atacat cu șapte luni în urmă
O exploatare scumpă Terra DeFi a rămas neraportată timp de șapte luni până săptămâna trecută. Mirror Protocol, construit pe blockchain-ul Terra, a permis utilizatorilor să folosească active sintetice pentru a lua poziții lungi sau scurte în acțiunile tehnologice.
Cu toate acestea, mecanismul de operare al protocolului a fost piratat pentru 90 de milioane de dolari. Atacul DeFi al lanțului Terra a fost găsit pentru prima dată săptămâna trecută de un membru și analist al comunității Terra numit „FatMan”, iar acum a fost confirmat de analiștii de securitate BlockSec.
Membrii comunității neacoperit o slăbiciune a codului Protocolului Mirror din 17 mai, permițând unui hacker să scurgă până la 90 de milioane de dolari începând cu 8 octombrie 2021.
Potrivit lui FatMan, care spune el a descoperit hack-ul prin „pură serendipitate”, atacatorul a furat 89,706,164.03 USD din protocol datorită unui exploit care le-a permis să deblocheze garanția din contractul de blocare „la neîncetat, cu costuri mici și risc zero”.
Statisticile în lanț Terra Classic dezvăluit că atacatorul a reușit să elibereze fonduri UST din protocol de multe ori în cadrul aceleiași tranzacții pentru numai 17.54 USD de fiecare dată.
Prin studierea tranzacției precise de exploatare, firma de securitate BlockSec confirmat constatările membrului comunității.
Cum sa întâmplat
Utilizatorii trebuie să blocheze garanția pentru cel puțin paisprezece zile pentru a paria împotriva unui stoc pe Mirror. Moneda digitală Terra originală, LUNA, a fost inclusă cu această garanție (acum LUNA Classic sau LUNC). Au fost implicate și mAssets și stablecoin-ul UST, acum dispărut.
Utilizatorii au putut să deblocheze garanția și să returneze banii în portofelele lor odată ce tranzacția a fost finalizată.
În plus, utilizarea numerelor de identificare generate de contracte inteligente a ajutat această procedură. Cu toate acestea, contractul de blocare al Mirror Protocol nu a putut verifica dacă un utilizator a folosit anterior același ID pentru a retrage fonduri din cauza prezenței unui bug.
Citire asemănătoare Thailanda se pregătește pentru economia digitală, elimină transferurile criptografice din TVA până la sfârșitul anului 2023
Cu toate acestea, contractul de blocare al Mirror se pare că nu a reușit să verifice când cineva a folosit același ID pentru a retrage fonduri de multe ori din cauza unei erori în cod.
În octombrie 2021, o entitate neidentificată a descoperit că o listă de ID-uri duplicate ar putea fi folosită pentru a debloca în mod repetat de sute de ori mai multe garanții decât aveau. Acest lucru însemna în esență că criminalul poate retrage fonduri fără permisiune.
Un nou atac
Pe 30 mai, la doar câteva zile după descoperire, protocolul DeFi a fost din nou vizat.
În conformitate cu rapoarte, cel mai nou hack a fost determinat de o defecțiune în stabilirea oracolelor de preț ale companiei, care a permis atacatorului să profite de o disparitate de preț între vechiul LUNC și noile jetoane LUNA.
Nodurile Terra rulau software oracle învechit, care permitea atacul să aibă loc. Hackerul a furat peste 2 milioane de dolari din protocol, potrivit membrului comunității Chainlink care a descoperit atacul.
Terra/USD se consolidează după un accident aproape de zero. Sursă: TradingView
Aceasta nu este prima dată când un hack trece neobservat pentru o scurtă perioadă de timp. În martie 2022, hackerii au furat 600 de milioane de dolari din lanțul lateral Ronin și a durat o săptămână pentru ca oricine să observe. Nu a fost până când utilizatorii a descoperit nu și-au putut retrage banii că cineva și-a dat seama că există o problemă.
Mirror Protocol, care este fiind cercetat de către Securities and Exchange Commission, nu a făcut încă o declarație oficială cu privire la situație.
Echipa Mirror Protocol nu a emis încă o declarație cu privire la exploatare, provocând indignarea comunității. FatMan, pe de altă parte, consideră că există „dovezi convingătoare” că hackerul a fost un insider.
Deși aceasta nu este prima exploatare DeFi din istorie, este cea care a durat cel mai mult să fie descoperită. Terra este supusă multă atenție pe măsură ce presiunea crește.
Citire asemănătoare Nu atât de marele zid: cum China a eșuat lamentabil să interzică mineritul Bitcoin
Imagine prezentată de la Shutterstock și diagramă de pe TradingView.com
Sursa: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/