Ένα σφάλμα στο λογισμικό τιμολόγησης oracle που χρησιμοποιούσαν οι επικυρωτές Terra Classic επέτρεψε σε έναν εκμεταλλευτή να αποστραγγίσει τέσσερις ομάδες συνθετικών στοιχείων από το Mirror Protocol.
Το Mirror Protocol Suffers New Exploit
Μια διαφορά στις αναφερόμενες τιμές των υποκείμενων περιουσιακών στοιχείων στην πλατφόρμα αποκεντρωμένης χρηματοδότησης συνθετικών περιουσιακών στοιχείων (DeFi) Mirror Protocol είχε ως αποτέλεσμα μια συνεχή εκμετάλλευση που έχει τη δυνατότητα να εξαντλήσει όλα τα κεφάλαιά της.
Την Κυριακή, ο συμμετέχων στη διακυβέρνηση Mirroruser παρατήρησε την εκμετάλλευση στο φόρουμ του πρωτοκόλλου. Κατά τη στιγμή της γραφής, οι δεξαμενές συνθετικών περιουσιακών στοιχείων Mirror BTC (mBTC), Mirror Polkadot (mDOT), Mirror Ether (mETH) και Mirror Galaxy (mGLXY) που χρησιμοποιούν το πρωτόκολλο έχουν χάσει σχεδόν όλα τα περιουσιακά τους στοιχεία αξίας άνω των 2 εκατομμυρίων δολαρίων.
Το Mirror επιτρέπει τη διαπραγμάτευση συνθετικών περιουσιακών στοιχείων, όπως μετοχές και κρυπτονομίσματα στις αλυσίδες μπλοκ Terra και Terra Classic layer-1, καθώς και στο BNB Chain και στο Ethereum.
Η εκμετάλλευση ήταν δυνατή λόγω ενός σφάλματος τιμολόγησης Luna Classic (LUNC). Οι υπόλοιποι επικυρωτές του Terra Classic ανέφεραν ότι η τιμή του LUNC στα 0.000122 $ ήταν ίδια με του πρόσφατα κυκλοφόρησε Terra (LUNA) (9.32 $), παρά το γεγονός ότι οι πραγματικές τιμές αγοράς τους διέφεραν πολύ σύμφωνα με το CoinGecko.
Την Τρίτη, ο πρεσβευτής της κοινότητας Chainlink ChainLinkGod εξήγησε ότι «οι επικυρωτές Terra Classic εκτελούσαν μια παλιά έκδοση του λογισμικού Oracle».
Το Terra Community Whistleblower προειδοποιεί τους προγραμματιστές σχετικά με το Exploit
Ο πληροφοριοδότης της κοινότητας Terra Twitter, με το ψευδώνυμο FatMan, προειδοποίησε ότι η εκμετάλλευση του Mirror θα επηρέαζε τις άλλες ομάδες περιουσιακών στοιχείων "m" περίπου στις 8:00 π.μ. UTC της Τρίτης. Ωστόσο, ο λογαριασμός πιστεύει ότι η πλειονότητα των ομάδων μπορεί να αποθηκευτεί εάν οι προγραμματιστές διορθώσουν το σφάλμα.
Φαίνεται ότι το σφάλμα τιμολόγησης για το LUNC έχει διορθωθεί έως τις 12:55 π.μ. UTC, καθώς η τιμή που επιβεβαιώθηκε από το μαντείο έχει αποκατασταθεί στην πραγματική αγοραία αξία της.
Αυτή είναι η δεύτερη φορά που η Mirror έχει εκτεθεί μια σοβαρή ευπάθεια ασφαλείας. Ο FatMan, σε ένα tweet της Παρασκευής, ισχυρίστηκε ότι η προηγούμενη αδυναμία στον κώδικα της Mirror είχε αξιοποιηθεί «εκατοντάδες φορές» από το 2021. Η πρώτη εκμετάλλευση έδωσε τη δυνατότητα σε έναν χρήστη να αποκτήσει πρόσβαση στις εξασφαλίσεις άλλων χρηστών στο πρωτόκολλο και να το βγάλει ο ίδιος. Δήλωσε ότι ο πρώτος εκμεταλλευτής δραπέτευσε με «πολύ πάνω από 30 εκατομμύρια δολάρια» και δεν εντοπίστηκε μέχρι τον Μάιο του 2022.
Όπως είχε προγραμματίσει ο ιδρυτής Do Kwon, το οικοσύστημα Terra επανακυκλοφόρησε το Σάββατο όταν το Terra 2.0 κυκλοφόρησε στο διαδίκτυο. Το blockchain Terra 2.0 είναι μια διχάλα του blockchain Terra Classic. Τα κουπόνια LUNA αποστέλλονται σε επενδυτές που διατήρησαν την προηγούμενη έκδοση του LUNA και του σταθερού νομίσματος TerraUSD (UST) κατά τη διάρκεια της τραγικής αποτυχίας του οικοσυστήματος Terra νωρίτερα αυτόν τον μήνα.
Οι χάκερ στοχεύουν το DeFi
Καθώς περισσότερες από 300 εταιρείες κρυπτογράφησης έχουν εισέλθει στην αγορά, η έλευση του DeFi έχει προσφέρει μια νέα κερδοφόρα οδό για τους εγκληματίες του κυβερνοχώρου. Παρά τη φήμη της ως ασφαλούς τεχνολογίας, τα μικρότερα χρηματιστήρια ενδέχεται να μην διαθέτουν το κατάλληλο προσωπικό κυβερνοασφάλειας για να προστατεύσουν τα εκκολαπτόμενα οικοσυστήματα τους.
Τον Μάιο, η Venus Protocol και η Blizz Finance έπεσαν θύματα ενός παρόμοιου εκμεταλλεύματος όταν η τιμή του μαντείου Chainlink ισχυρίστηκε ότι η τιμή LUNA ήταν 0.10 $, παρόλο που η τιμή της αγοράς ήταν πολύ χαμηλότερη. Ενώ η Venus έχασε 11.2 εκατομμύρια δολάρια, το Blizz Finance εξαντλήθηκε εντελώς.
Η πλατφόρμα Ronin Network που εστιάζει στα παιχνίδια υπέστη το μεγαλύτερο hack στον χώρο του DeFi μέχρι σήμερα, χάνοντας πάνω από 625 εκατομμύρια δολάρια σε USDC και ETH.
Πηγή: https://crypto.news/luna-classic-pricing-mirror-protocol-exploit/