Mirror Protocol, DeFi приложение, изградено върху стария блокчейн Terra, беше атакувано от експлойт на стойност 90 милиона долара през октомври 2021 г. и остана напълно неоткрито до миналата седмица. Нападателят успя да отключи обезпечение от протокола няколко пъти, като само плаща малка такса всеки път.
DeFi на Terra беше атакуван преди седем месеца
Скъп експлойт на Terra DeFi не беше докладван в продължение на седем месеца до миналата седмица. Mirror Protocol, изграден върху блокчейн Terra, позволява на потребителите да използват синтетични активи, за да заемат дълги или къси позиции в технологични акции.
Операционният механизъм на протокола обаче беше хакнат за 90 милиона долара. Веригата Terra DeFi атаката беше открита за първи път миналата седмица от член на общността и анализатор на Terra на име "FatMan" и сега беше потвърдена от анализаторите по сигурността BlockSec.
Членове на общността разкрит слабост в кода на Mirror Protocol на 17 май, което позволява на хакер да източи до 90 милиона долара от 8 октомври 2021 г.
Според FatMan, който казва той открива хака по „чиста случайност“, нападателят открадна $89,706,164.03 от протокола благодарение на експлойт, който им позволява да отключват обезпечение от договора за заключване „отново и отново с ниска цена и нулев риск“.
Статистиката във веригата на Terra Classic разкри че нападателят е успял да освободи UST средства от протокола много пъти в рамките на една и съща транзакция само за $17.54 всеки път.
Чрез изучаване на точната транзакция за експлоатиране, охранителната фирма BlockSec потвърди констатациите на члена на общността.
Как се случи
Потребителите трябва да заключат обезпечение за поне четиринадесет дни, за да залагат срещу акции в Mirror. Оригиналната цифрова валута Terra, LUNA, беше включена в това обезпечение (сега LUNA Classic или LUNC). mAssets и вече несъществуващата стабилна монета UST също бяха замесени.
Потребителите успяха да отключат обезпечението и да върнат парите в портфейлите си, след като търговията приключи.
Освен това използването на генерирани от интелигентен договор идентификационни номера подпомогна тази процедура. Договорът за заключване на Mirror Protocol обаче не успя да провери дали потребителят преди е използвал същия идентификатор за теглене на средства поради наличието на грешка.
Свързано четене | Тайланд се подготвя за цифрова икономика, премахва крипто преводите от ДДС до края на 2023 г.
Въпреки това договорът за заключване на Mirror очевидно не успя да провери кога някой е използвал същия идентификатор за теглене на средства много пъти поради грешка в кода.
През октомври 2021 г. неидентифициран субект откри, че списък с дублиращи се идентификационни номера може да се използва за многократно отключване на стотици пъти повече обезпечения, отколкото са имали. Това по същество означаваше, че престъпникът може да тегли средства без разрешение.
Нова атака
На 30 май, само дни след откриването, протоколът DeFi отново беше насочен.
Според доклади, най-новият хак беше предизвикан от грешка в настройката на ценовите оракули на компанията, което позволи на нападателя да се възползва от ценовото несъответствие между старите LUNC и новите токени LUNA.
Възлите на Terra работеха с остарял софтуер на Oracle, което позволи атаката да се осъществи. Хакерът открадна над 2 милиона долара от протокола, според член на общността на Chainlink, който е открил атаката.
Terra/USD се консолидира след почти нулев срив. Източник: TradingView
Това не е първият път, когато хакването остава незабелязано за кратък период от време. През март 2022 г. хакери откраднаха 600 милиона долара от страничната верига на Ronin и отне седмица, докато някой забележи. Не беше до потребителите открит не можеха да си изтеглят парите, че някой е разбрал, че има проблем.
Mirror Protocol, който е се разследва от Комисията за ценни книжа и борси, все още не е направила официално изявление за ситуацията.
Екипът на Mirror Protocol все още не е издал изявление относно експлойта, което предизвика възмущение на общността. FatMan, от друга страна, вярва, че има „убедителни доказателства“, че хакерът е бил вътрешен човек.
Въпреки че това не е първият експлойт на DeFi в историята, той е този, който е отнел най-дълго, за да бъде открит. Terra е под много внимание, тъй като налягането се трупа.
Свързано четене | Не толкова Great Wall: Как Китай не успя да забрани копаене на биткойн
Представено изображение от Shutterstock и диаграма от TradingView.com
Източник: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/