Το Mirror Protocol, μια εφαρμογή DeFi που χτίστηκε στο παλιό blockchain Terra, δέχτηκε επίθεση από μια εκμετάλλευση 90 εκατομμυρίων δολαρίων τον Οκτώβριο του 2021 και παρέμεινε εντελώς ανεξερεύνητη μέχρι την περασμένη εβδομάδα. Ο εισβολέας μπόρεσε να ξεκλειδώσει πολλές φορές την ασφάλεια από το πρωτόκολλο, ενώ πλήρωνε μόνο ένα μικρό ποσό κάθε φορά.
Το Terra's DeFi επιτέθηκε πριν από επτά μήνες
Μια ακριβή εκμετάλλευση Terra DeFi δεν αναφέρθηκε για επτά μήνες μέχρι την περασμένη εβδομάδα. Το Mirror Protocol, χτισμένο στο blockchain Terra, επέτρεψε στους χρήστες να χρησιμοποιούν συνθετικά στοιχεία ενεργητικού για να λάβουν θέσεις long ή short σε μετοχές τεχνολογίας.
Ωστόσο, ο μηχανισμός λειτουργίας του πρωτοκόλλου παραβιάστηκε για 90 εκατομμύρια δολάρια. Η επίθεση της αλυσίδας Terra DeFi εντοπίστηκε για πρώτη φορά την περασμένη εβδομάδα από ένα μέλος της κοινότητας Terra και αναλυτή με το όνομα «FatMan» και τώρα έχει επιβεβαιωθεί από τους αναλυτές ασφαλείας BlockSec.
Μέλη της Κοινότητας ακάλυπτος μια αδυναμία στον κώδικα του Mirror Protocol στις 17 Μαΐου, επιτρέποντας σε έναν χάκερ να αποστραγγίσει έως και 90 εκατομμύρια δολάρια από τις 8 Οκτωβρίου 2021.
Σύμφωνα με τον FatMan, ο οποίος λέει ανακάλυψε το hack με «καθαρή ειρήνη», ο εισβολέας έκλεψε 89,706,164.03 $ από το πρωτόκολλο χάρη σε ένα exploit που τους επέτρεψε να ξεκλειδώσουν την ασφάλεια από το συμβόλαιο κλειδώματος «ξανά και ξανά με μικρό κόστος και μηδενικό κίνδυνο».
Τα στατιστικά στοιχεία της αλυσίδας Terra Classic αποκάλυψε ότι ο εισβολέας ήταν σε θέση να απελευθερώσει κεφάλαια UST από το πρωτόκολλο πολλές φορές μέσα στην ίδια συναλλαγή για μόνο 17.54 $ κάθε φορά.
Μελετώντας την ακριβή συναλλαγή εκμετάλλευσης, η εταιρεία ασφαλείας BlockSec επιβεβαίωσε ευρήματα του μέλους της κοινότητας.
Πως εγινε
Οι χρήστες πρέπει να κλειδώσουν την ασφάλεια για τουλάχιστον δεκατέσσερις ημέρες προκειμένου να στοιχηματίσουν σε μια μετοχή στο Mirror. Το αρχικό ψηφιακό νόμισμα Terra, LUNA, συμπεριλήφθηκε σε αυτήν την εξασφάλιση (τώρα LUNA Classic ή LUNC). Συμμετείχαν επίσης τα mAssets και το πλέον ανενεργό stablecoin UST.
Οι χρήστες μπόρεσαν να ξεκλειδώσουν την εξασφάλιση και να επιστρέψουν τα χρήματα στα πορτοφόλια τους μόλις ολοκληρωθεί η συναλλαγή.
Επιπλέον, η χρήση αριθμών ταυτότητας που δημιουργούνται από έξυπνα συμβόλαια βοήθησε αυτή τη διαδικασία. Το συμβόλαιο κλειδώματος του Mirror Protocol, ωστόσο, δεν ήταν σε θέση να ελέγξει εάν ένας χρήστης είχε χρησιμοποιήσει προηγουμένως το ίδιο αναγνωριστικό για την ανάληψη χρημάτων λόγω της παρουσίας σφάλματος.
Σχετική ανάγνωση | Η Ταϊλάνδη προετοιμάζεται για την ψηφιακή οικονομία, αφαιρεί τις μεταφορές κρυπτογράφησης από τον ΦΠΑ έως το τέλος του 2023
Ωστόσο, το συμβόλαιο κλειδαριάς της Mirror προφανώς απέτυχε να ελέγξει πότε κάποιος χρησιμοποίησε το ίδιο αναγνωριστικό για ανάληψη χρημάτων πολλές φορές λόγω σφάλματος στον κωδικό.
Τον Οκτώβριο του 2021, μια άγνωστη οντότητα ανακάλυψε ότι μια λίστα με διπλότυπα αναγνωριστικά θα μπορούσε να χρησιμοποιηθεί για να ξεκλειδώσει επανειλημμένα εκατοντάδες φορές περισσότερες εξασφαλίσεις από ό,τι είχε. Αυτό ουσιαστικά σήμαινε ότι ο εγκληματίας μπορεί να αποσύρει χρήματα χωρίς άδεια.
Μια νέα επίθεση
Στις 30 Μαΐου, λίγες μέρες μετά την ανακάλυψη, το πρωτόκολλο DeFi στοχοποιήθηκε ξανά.
Σύμφωνα με Αναφορές, το νεότερο hack προκλήθηκε από ένα ελάττωμα στη ρύθμιση των χρησμών τιμών της εταιρείας, το οποίο επέτρεψε στον εισβολέα να επωφεληθεί από μια διαφορά τιμών μεταξύ των παλαιών LUNC και νέων κουπονιών LUNA.
Οι κόμβοι Terra εκτελούσαν απαρχαιωμένο λογισμικό oracle, το οποίο επέτρεψε να λάβει χώρα η επίθεση. Ο χάκερ έκλεψε πάνω από 2 εκατομμύρια δολάρια από το πρωτόκολλο, σύμφωνα με το μέλος της κοινότητας Chainlink που ανακάλυψε την επίθεση.
Το Terra/USD παγιώνεται μετά από σχεδόν μηδενική συντριβή. Πηγή: TradingView
Δεν είναι η πρώτη φορά που ένα hack περνά απαρατήρητο για σύντομο χρονικό διάστημα. Τον Μάρτιο του 2022, χάκερ έκλεψαν 600 εκατομμύρια δολάρια από την πλευρική αλυσίδα Ronin, και χρειάστηκε μια εβδομάδα για να το προσέξει κανείς. Δεν ήταν μέχρι τους χρήστες ανακάλυψαν δεν μπορούσαν να αποσύρουν τα χρήματά τους που κάποιος συνειδητοποίησε ότι υπήρχε πρόβλημα.
Mirror Protocol, που είναι ερευνάται από την Επιτροπή Κεφαλαιαγοράς, δεν έχει κάνει ακόμη επίσημη δήλωση για την κατάσταση.
Η ομάδα Mirror Protocol δεν έχει ακόμη εκδώσει δήλωση σχετικά με το exploit, προκαλώντας οργή της κοινότητας. Ο FatMan, από την άλλη πλευρά, πιστεύει ότι υπάρχουν «απαραίτητες αποδείξεις» ότι ο χάκερ ήταν μυστικός.
Αν και αυτό δεν είναι το πρώτο exploit του DeFi στην ιστορία, είναι αυτό που χρειάστηκε περισσότερο χρόνο για να ανακαλυφθεί. Η Terra ελέγχεται πολύ καθώς η πίεση συσσωρεύεται.
Σχετική ανάγνωση | Όχι τόσο Σινικό Τείχος: Πώς η Κίνα απέτυχε παταγωδώς να απαγορεύσει την εξόρυξη Bitcoin
Επιλεγμένη εικόνα από το Shutterstock και γράφημα από το TradingView.com
Πηγή: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/