V októbri 2021 aplikácia DeFi Mirror Protocol podľahla zneužitiu starého blockchainu Terra za 90 miliónov dolárov – a až do minulého týždňa to zostalo úplne nepovšimnuté.
Zrkadlový protokol umožnil používateľom zaujať dlhé alebo krátke pozície na technologických akciách pomocou syntetických aktív. Bola postavená na Terra, ktorá sa zrútila začiatkom tohto mesiaca po tom, čo jej hlavný stablecoin stratil naviazanie na americký dolár a strhol so sebou aj sesterský token Luna. (Blockchain bol teraz oživený ako Terra 2.0, zatiaľ čo pôvodný reťazec žije ďalej ako Terra Classic).
Zneužitie bolo objavil od člena komunity Terra a analytika s názvom „FatMan“. Bol jedným z najhlasnejších antagonistov pri nedávnom spustení nového blockchainu Terra.
Bezpečnostná firma BlockSec potvrdené zistenia člena komunity analýzou konkrétnej transakcie exploitu. BlockSec potvrdil, že k zneužitiu skutočne došlo.
Ako došlo k zneužitiu?
Kedykoľvek chcel niekto staviť proti akcii na Mirror, musel kolaterál zámku — vrátane UST, LUNA Classic (LUNC) a mAssets — minimálne na 14 dní.
Po ukončení obchodu mohli používatelia odomknúť kolaterál a uvoľniť prostriedky späť do peňaženky. To všetko sa dialo pomocou inteligentných ID čísel generovaných zmluvou.
Kvôli chybnému kódu však zmluva o zámku Mirror údajne nedokázala skontrolovať, keď niekto použil rovnaké ID viac ako raz na výber prostriedkov.
V októbri 2021 si jeden neznámy subjekt všimol, že môže použiť zoznam duplicitných ID na opakované odomknutie stonásobne väčšieho množstva kolaterálu, ako mal. To v podstate znamenalo, že páchateľ mohol vybrať prostriedky bez akéhokoľvek povolenia.
Tento subjekt odčerpal celkovo asi 90 miliónov dolárov blockchainových záznamov.
Sedem mesiacov bez povšimnutia
Zneužitie Mirror môže byť jednou z mála udalostí, kde napriek prítomnosti údajov v reťazci zostal veľký hack dlho neodhalený. Projekty zvyčajne rýchlo hlásia bezpečnostné udalosti z dôvodu transparentnosti.
BlockSec uviedol, že zneužitie pravdepodobne zostalo nepovšimnuté, pretože menej ľudí hľadalo problémy na Terra v porovnaní s Ethereom a reťazcami kompatibilnými s Ethereom.
Na stránke Mirror navyše chýbalo rozhranie, ktoré by umožňovalo skontrolovať celkovú výšku zabezpečenia v protokole. Vďaka tomu bolo oveľa ťažšie všimnúť si túto zraniteľnosť bez toho, aby ste museli preberať veľké množstvo blockchainových údajov.
Začiatkom tohto mesiaca vývojári Mirror potichu opravili túto zraniteľnosť, približne v rovnakom čase, keď UST stablecoin začal kolabovať. O týždeň neskôr po oprave sa členovia komunity začali pýtať, či mohlo dôjsť k zneužitiu, podľa diskusie o riadení. Nie je jasné, či vývojári Mirror vedeli o exploite.
Nie je to však prvýkrát, čo sa hack na krátky čas dostal pod radar. Keď hackeri v marci 600 ukradli 2022 miliónov dolárov z vedľajšieho reťazca Ronin, prešiel týždeň, kým si niekto uvedomil, že sa to stalo. Až keď používatelia zistili, že nie sú schopní vybrať svoje prostriedky, niekto si uvedomil, že existuje nedostatok.
Mirror Protocol, ktorý je predmetom vyšetrovania SEC, sa k tejto záležitosti zatiaľ oficiálne nevyjadril. Tím v Mirror alebo Terraform Labs zatiaľ neodpovedal na žiadosť o komentár.
Ak chcete získať ďalšie zlomové príbehy, ako je tento, sledujte The Block on Twitter.
© 2022 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss