Mirror Protocol, aplikácia DeFi postavená na starom blockchaine Terra, bola napadnutá zneužitím v hodnote 90 miliónov dolárov v októbri 2021 a až do minulého týždňa zostala úplne neobjavená. Útočníkovi sa podarilo odomknúť kolaterál z protokolu viackrát, pričom zakaždým zaplatil len malý poplatok.
Terra's DeFi zaútočila pred siedmimi mesiacmi
Drahé využitie Terra DeFi zostalo neohlásené sedem mesiacov až do minulého týždňa. Mirror Protocol, postavený na blockchaine Terra, umožnil používateľom využívať syntetické aktíva na zaujatie dlhých alebo krátkych pozícií v technologických akciách.
Operačný mechanizmus protokolu však bol napadnutý za 90 miliónov dolárov. Útok DeFi reťazca Terra bol prvýkrát nájdený minulý týždeň členom komunity Terra a analytikom menom „FatMan“ a teraz ho potvrdili bezpečnostní analytici BlockSec.
Členovia komunity odkrytý slabina v kóde Mirror Protocol 17. mája, ktorá umožňuje hackerovi odčerpať až 90 miliónov dolárov od 8. októbra 2021.
Podľa FatMana, ktorý hovorí objavil hack prostredníctvom „čistej náhody“, útočník ukradol 89,706,164.03 XNUMX XNUMX dolárov z protokolu vďaka zneužitiu, ktoré im umožnilo odomknúť kolaterál zo zmluvy o zámku „znovu a znova s malými nákladmi a nulovým rizikom“.
Štatistika Terra Classic na reťazci odhalil že útočník bol schopný uvoľniť prostriedky UST z protokolu mnohokrát v rámci tej istej transakcie len za 17.54 USD zakaždým.
Na základe preštudovania presnej exploitovej transakcie bezpečnostná firma BlockSec potvrdené zistenia člena komunity.
Ako sa to stalo
Používatelia musia uzamknúť kolaterál aspoň na štrnásť dní, aby mohli staviť na akciu na Mirror. Pôvodná digitálna mena Terra, LUNA, bola súčasťou tohto kolaterálu (teraz LUNA Classic alebo LUNC). Zapojené boli aj mAssets a dnes už neexistujúci stablecoin UST.
Používatelia mohli po dokončení obchodu odomknúť kolaterál a vrátiť peniaze do svojich peňaženiek.
Okrem toho pri tomto postupe napomáhalo používanie identifikačných čísel generovaných inteligentnými zmluvami. Uzamykacia zmluva Mirror Protocol však nedokázala skontrolovať, či používateľ predtým použil rovnaké ID na výber prostriedkov kvôli prítomnosti chyby.
Súvisiace čítanie Thajsko sa pripravuje na digitálnu ekonomiku, do konca roka 2023 odstraňuje kryptotransfery z DPH
Zmluva o zámku Mirror však zjavne nedokázala skontrolovať, keď niekto použil rovnaké ID na výber prostriedkov mnohokrát kvôli chybe v kóde.
V októbri 2021 neznáma entita zistila, že zoznam duplicitných ID možno použiť na opakované odomknutie stokrát väčšieho množstva kolaterálu, ako mali. To v podstate znamenalo, že zločinec môže vyberať prostriedky bez povolenia.
Nový útok
30. mája, len pár dní po objave, bol protokol DeFi opäť zameraný.
Podľa správy, najnovší hack bol vyvolaný chybou v nastavení cenových veštcov spoločnosti, čo útočníkovi umožnilo využiť cenový rozdiel medzi starými tokenmi LUNC a novými tokenmi LUNA.
V uzloch Terra bol spustený zastaraný orakulský softvér, ktorý umožnil uskutočnenie útoku. Podľa člena komunity Chainlink, ktorý útok objavil, hacker ukradol z protokolu viac ako 2 milióny dolárov.
Terra/USD sa po takmer nulovej havárii konsoliduje. Zdroj: TradingView
Nie je to prvýkrát, čo hack zostal na krátky čas bez povšimnutia. V marci 2022 hackeri ukradli 600 miliónov dolárov z postranného reťazca Ronin a trvalo týždeň, kým si to niekto všimol. Až používatelia objavil nemohli vybrať svoje peniaze, že si niekto uvedomil, že je problém.
Mirror Protocol, ktorý je vyšetrovaný Komisia pre cenné papiere a burzu ešte nevydala oficiálne stanovisko k situácii.
Tím Mirror Protocol ešte nevydal vyhlásenie týkajúce sa zneužitia, čo vyvolalo rozhorčenie komunity. FatMan sa na druhej strane domnieva, že existujú „presvedčivé dôkazy“, že hacker bol zasvätený.
Aj keď toto nie je prvý exploit DeFi v histórii, je to ten, ktorého objavenie trvalo najdlhšie. Terra je pod veľkým drobnohľadom, pretože tlak sa hromadí.
Súvisiace čítanie Nie tak Veľký múr: Ako Čína zlyhala pri zákaze ťažby bitcoínov
Odporúčaný obrázok zo Shutterstock a graf z TradingView.com
Zdroj: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/