Mirror Protocol, en DeFi-applikasjon bygget på den gamle Terra-blokkjeden, ble angrepet av en utnyttelse på 90 millioner dollar i oktober 2021, og den forble helt uoppdaget til forrige uke. Angriperen var i stand til å låse opp sikkerheter fra protokollen flere ganger mens han bare betalte et lite gebyr hver gang.
Terras DeFi angrep for syv måneder siden
En kostbar Terra DeFi-utnyttelse ble urapportert i syv måneder frem til forrige uke. Mirror Protocol, bygget på Terra blockchain, tillot brukere å bruke syntetiske eiendeler for å ta lange eller korte posisjoner i teknologiaksjer.
Protokollens driftsmekanisme ble imidlertid hacket for 90 millioner dollar. Terra-kjeden DeFi-angrepet ble først funnet forrige uke av et Terra-fellesskapsmedlem og analytiker ved navn "FatMan", og har nå blitt bekreftet av sikkerhetsanalytikere BlockSec.
Samfunnsmedlemmer avdekket en svakhet i Mirror Protocols kode 17. mai, noe som gjør at en hacker kan tappe opptil 90 millioner dollar fra og med 8. oktober 2021.
Ifølge FatMan, som sier han oppdaget hacket ved "ren serendipity", angriperen stjal $89,706,164.03 XNUMX XNUMX fra protokollen takket være en utnyttelse som tillot dem å låse opp sikkerhet fra låsekontrakten "om og om igjen til liten kostnad og null risiko."
Terra Classic-statistikken på kjeden avslørt at angriperen var i stand til å frigjøre UST-midler fra protokollen mange ganger innenfor samme transaksjon for kun $17.54 hver gang.
Ved å studere den nøyaktige utnyttelsestransaksjonen, har sikkerhetsfirmaet BlockSec bekreftet fellesskapsmedlemmets funn.
Hvordan det skjedde
Brukere må låse sikkerhet i minst fjorten dager for å kunne satse mot en aksje på Mirror. Den originale Terra digitale valutaen, LUNA, ble inkludert med denne sikkerheten (nå LUNA Classic eller LUNC). mAssets og den nå nedlagte stablecoin UST var også involvert.
Brukere var i stand til å låse opp sikkerheten og returnere pengene til lommeboken når handelen var fullført.
Videre hjalp bruken av smarte kontraktsgenererte ID-numre denne prosedyren. Låsekontrakten til Mirror Protocol var imidlertid ikke i stand til å sjekke om en bruker tidligere hadde brukt samme ID for å ta ut penger på grunn av tilstedeværelsen av en feil.
Relatert lesing | Thailand gjør seg klar for digital økonomi, fjerner kryptooverføringer fra moms til slutten av 2023
Men Mirrors låsekontrakt klarte tilsynelatende ikke å sjekke når noen brukte samme ID for å ta ut penger mange ganger på grunn av en feil i koden.
I oktober 2021 oppdaget en uidentifisert enhet at en liste over dupliserte ID-er kunne brukes til gjentatte ganger å låse opp hundrevis av ganger mer sikkerhet enn de hadde. Dette innebar i hovedsak at den kriminelle kan ta ut midler uten tillatelse.
Et nytt angrep
30. mai, bare dager etter oppdagelsen, ble DeFi-protokollen målrettet igjen.
Ifølge rapporter, det nyeste hacket ble forårsaket av en feil i innstillingen av selskapets prisorakler, som gjorde at angriperen kunne dra nytte av prisforskjellen mellom de gamle LUNC- og nye LUNA-tokenene.
Terra-nodene kjørte utdatert orakelprogramvare, som gjorde at angrepet kunne finne sted. Hackeren stjal over 2 millioner dollar fra protokollen, ifølge Chainlink-fellesskapsmedlemmet som oppdaget angrepet.
Terra/USD konsoliderer seg etter nesten null krasj. Kilde: TradingView
Dette er ikke første gang et hack har gått ubemerket hen i en kort periode. I mars 2022, hackere stjal 600 millioner dollar fra Ronin-sidekjeden, og det tok en uke før noen la merke til det. Det var ikke før brukerne oppdaget de kunne ikke ta ut pengene sine fordi noen skjønte at det var et problem.
Mirror Protocol, som er blir undersøkt av Securities and Exchange Commission, har ennå ikke gitt en offisiell uttalelse om situasjonen.
Mirror Protocol-teamet har ennå ikke gitt en uttalelse angående utnyttelsen, noe som har skapt raseri i samfunnet. FatMan, derimot, mener at det er «overbevisende bevis» for at hackeren var en innsider.
Selv om dette ikke er den første DeFi-utnyttelsen i historien, er det den som har tatt lengst tid å bli oppdaget. Terra er under mye gransking ettersom trykket hoper seg opp.
Relatert lesing | Not So Great Wall: Hvordan Kina mislyktes i å forby Bitcoin-gruvedrift
Utvalgt bilde fra Shutterstock og diagram fra TradingView.com
Kilde: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/