Τον Οκτώβριο του 2021, η εφαρμογή DeFi Mirror Protocol υπέκυψε σε μια εκμετάλλευση 90 εκατομμυρίων δολαρίων στο παλιό blockchain Terra — και πέρασε εντελώς απαρατήρητη μέχρι την περασμένη εβδομάδα.
Το πρωτόκολλο Mirror επέτρεπε στους χρήστες να λαμβάνουν θέσεις long ή short σε μετοχές τεχνολογίας χρησιμοποιώντας συνθετικά στοιχεία ενεργητικού. Χτίστηκε στο Terra, το οποίο κατέρρευσε νωρίτερα αυτό το μήνα αφού το βασικό του stablecoin έχασε την πρόσδεσή του με το δολάριο ΗΠΑ, παρασύροντας μαζί του και το αδερφικό του token Luna. (Το blockchain έχει πλέον αναβιώσει ως Terra 2.0, ενώ η αρχική αλυσίδα παραμένει ως Terra Classic).
Η εκμετάλλευση ήταν ανακάλυψαν από ένα μέλος της κοινότητας Terra και αναλυτή που ονομάζεται «FatMan». Υπήρξε ένας από τους πιο φωνητικούς ανταγωνιστές στην πρόσφατη κυκλοφορία του νέου blockchain Terra.
Εταιρεία ασφαλείας BlockSec επιβεβαιώθηκε τα ευρήματα του μέλους της κοινότητας αναλύοντας τη συγκεκριμένη συναλλαγή εκμετάλλευσης. Το BlockSec επιβεβαίωσε ότι όντως έλαβε χώρα μια εκμετάλλευση.
Πώς έγινε η εκμετάλλευση;
Όποτε κάποιος ήθελε να στοιχηματίσει εναντίον μιας μετοχής στη Mirror, έπρεπε να το κάνει κλειδαριά εγγύηση — συμπεριλαμβανομένων των UST, LUNA Classic (LUNC) και mAssets — για τουλάχιστον 14 ημέρες.
Μετά την ολοκλήρωση της συναλλαγής, οι χρήστες μπορούσαν να ξεκλειδώσουν την εξασφάλιση για να αποδεσμεύσουν τα χρήματα πίσω στο πορτοφόλι. Όλα αυτά έγιναν με τη βοήθεια αριθμών ταυτότητας που δημιουργούνται από έξυπνα συμβόλαια.
Ωστόσο, λόγω του κωδικού σφάλματος, το συμβόλαιο κλειδώματος του Mirror φέρεται να απέτυχε να ελέγξει πότε κάποιος χρησιμοποίησε το ίδιο αναγνωριστικό περισσότερες από μία φορές για ανάληψη χρημάτων.
Τον Οκτώβριο του 2021, μια άγνωστη οντότητα παρατήρησε ότι μπορούσε να χρησιμοποιήσει μια λίστα με διπλότυπα αναγνωριστικά για να ξεκλειδώσει επανειλημμένα εκατοντάδες φορές περισσότερες εξασφαλίσεις από αυτές που είχαν. Αυτό ουσιαστικά σήμαινε ότι ο δράστης μπορούσε να αποσύρει χρήματα χωρίς καμία εξουσιοδότηση.
Αυτή η οντότητα αποστράγγισε περίπου 90 εκατομμύρια δολάρια συνολικά, σύμφωνα με αρχεία blockchain.
Πέρασε απαρατήρητος για επτά μήνες
Το Mirror exploit μπορεί να είναι ένα από τα σπάνια γεγονότα όπου, παρά την παρουσία δεδομένων on-chain, ένα μεγάλο hack παρέμεινε άγνωστο για μεγάλο χρονικό διάστημα. Συνήθως, τα έργα αναφέρουν γρήγορα συμβάντα ασφαλείας για λόγους διαφάνειας.
Η BlockSec είπε ότι το exploit πιθανότατα πέρασε απαρατήρητο επειδή λιγότεροι άνθρωποι σάρωναν για προβλήματα στο Terra σε σύγκριση με τις αλυσίδες συμβατές με Ethereum και Ethereum.
Επιπλέον, δεν υπήρχε διεπαφή στον ιστότοπο Mirror που να επέτρεπε τον έλεγχο του συνολικού ποσού των εξασφαλίσεων στο πρωτόκολλο. Αυτό κατέστησε πολύ πιο δύσκολο να παρατηρήσετε την ευπάθεια χωρίς να ψάξετε μεγάλο αριθμό δεδομένων blockchain.
Νωρίτερα αυτόν τον μήνα, οι προγραμματιστές του Mirror διόρθωσαν αθόρυβα την ευπάθεια, την ίδια περίπου στιγμή που το stablecoin του UST άρχισε να καταρρέει. Μια εβδομάδα αργότερα μετά το έμπλαστρο, τα μέλη της κοινότητας άρχισαν να αναρωτιούνται αν θα μπορούσε να είχε γίνει εκμετάλλευση, σύμφωνα με μια συζήτηση για τη διακυβέρνηση. Δεν είναι σαφές εάν οι προγραμματιστές της Mirror γνώριζαν για το exploit.
Δεν είναι, ωστόσο, η πρώτη φορά που ένα hack μπαίνει στο ραντάρ για μικρό χρονικό διάστημα. Όταν οι χάκερ έκλεψαν 600 εκατομμύρια δολάρια από την πλευρική αλυσίδα Ronin τον Μάρτιο του 2022, πέρασε μια εβδομάδα πριν κάποιος καταλάβει ότι είχε συμβεί. Μόνο όταν οι χρήστες διαπίστωσαν ότι δεν μπορούσαν να αποσύρουν τα χρήματά τους, κάποιος κατάλαβε ότι υπήρχε έλλειμμα.
Το Mirror Protocol, το οποίο αποτελεί αντικείμενο έρευνας της SEC, δεν έχει κάνει ακόμη επίσημο σχόλιο για το θέμα. Η ομάδα της Mirror ή της Terraform Labs δεν έχει ακόμη ανταποκριθεί σε αίτημα για σχόλιο.
Για περισσότερες ιστορίες όπως αυτή, φροντίστε να ακολουθήσετε το The Block on Twitter.
© 2022 The Block Crypto, Inc. Με επιφύλαξη παντός δικαιώματος. Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss