I oktober 2021 bukket DeFi-applikasjonen Mirror Protocol under for en utnyttelse på 90 millioner dollar på den gamle Terra-blokkjeden – og det gikk helt ubemerket frem til forrige uke.
Speilprotokollen tillot brukere å ta lange eller korte posisjoner på teknologiaksjer ved bruk av syntetiske eiendeler. Den ble bygget på Terra, som kollapset tidligere denne måneden etter at dens viktigste stablecoin mistet koblingen til amerikanske dollar, og dro med seg søstertokenet Luna nedover. (Blokkjeden har nå blitt gjenopplivet som Terra 2.0, mens den originale kjeden lever videre som Terra Classic).
Utnyttelsen var oppdaget av et Terra-fellesskapsmedlem og analytiker kalt "FatMan." Han har vært en av de mest vokale antagonistene i den nylige lanseringen av den nye Terra blockchain.
Sikkerhetsfirmaet BlockSec bekreftes fellesskapsmedlemmets funn ved å analysere den spesifikke utnyttelsestransaksjonen. BlockSec bekreftet at en utnyttelse faktisk fant sted.
Hvordan skjedde utnyttelsen?
Når noen ønsket å satse mot en aksje på Mirror, måtte de lås sikkerhet – inkludert UST, LUNA Classic (LUNC) og mAssets – i minimum 14 dager.
Etter at handelen var avsluttet, kunne brukere låse opp sikkerheten for å frigjøre midlene tilbake til lommeboken. Alt dette ble gjort ved hjelp av smarte kontraktsgenererte ID-numre.
På grunn av buggy-kode klarte imidlertid Mirrors låsekontrakt angivelig ikke å sjekke når noen brukte samme ID mer enn én gang for å ta ut penger.
I oktober 2021 la en ukjent enhet merke til at de kunne bruke en liste over dupliserte ID-er for gjentatte ganger å låse opp hundrevis av ganger mer sikkerhet enn de hadde. Dette betydde i utgangspunktet at gjerningsmannen kunne ta ut penger uten autorisasjon.
Denne enheten tappet rundt 90 millioner dollar totalt, ifølge blokkjede-poster.
Har gått ubemerket hen i syv måneder
Mirror-utnyttelsen kan være en av de sjeldne hendelsene der, til tross for tilstedeværelsen av kjededata, forble et stort hack uavslørt i lang tid. Vanligvis er prosjekter raske til å rapportere sikkerhetshendelser av hensyn til åpenheten.
BlockSec sa at utnyttelsen sannsynligvis gikk ubemerket hen fordi færre personer skannede etter problemer på Terra sammenlignet med Ethereum og Ethereum-kompatible kjeder.
I tillegg fantes det ikke noe grensesnitt på Mirror-nettstedet som gjorde det mulig å sjekke den totale sikkerheten i protokollen. Dette gjorde det mye vanskeligere å legge merke til sårbarheten uten å sile gjennom en stor mengde blokkjededata.
Tidligere denne måneden løste Mirror-utviklere i det stille sikkerhetsproblemet, omtrent samtidig som UST stablecoin begynte å kollapse. En uke senere etter oppdateringen begynte medlemmer av samfunnet å lure på om det kunne ha vært en utnyttelse, ifølge en styringsdiskusjon. Det er uklart om Mirrors utviklere visste om utnyttelsen.
Dette er imidlertid ikke første gang et hack har gått under radaren på kort tid. Da hackere stjal 600 millioner dollar fra Ronin-sidekjeden i mars 2022, gikk det en uke før noen skjønte at det hadde skjedd. Det var først da brukere fant ut at de ikke var i stand til å ta ut pengene sine, noen innså at det var en mangel.
Mirror Protocol, som er gjenstand for en SEC-undersøkelse, har ennå ikke gitt en offisiell kommentar til saken. Teamet ved Mirror eller Terraform Labs har ennå ikke svart på en forespørsel om kommentar.
For flere spennende historier som dette, sørg for å følge The Block on Twitter.
© 2022 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.
Kilde: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss