I oktober 2021 bukkede DeFi-applikationen Mirror Protocol under for en udnyttelse på 90 millioner dollars på den gamle Terra blockchain - og det gik fuldstændig ubemærket hen indtil i sidste uge.
Mirror-protokollen tillod brugere at tage lange eller korte positioner på teknologiaktier ved hjælp af syntetiske aktiver. Den blev bygget på Terra, som kollapsede tidligere på måneden, efter at dens vigtigste stablecoin mistede sin binding til den amerikanske dollar og trak sin søster-token Luna ned med sig. (Blockkæden er nu genoplivet som Terra 2.0, mens den originale kæde lever videre som Terra Classic).
Udnyttelsen var opdaget af et Terra-fællesskabsmedlem og analytiker kaldet "FatMan." Han har været en af de mest vokale antagonister i den nylige lancering af den nye Terra blockchain.
Sikkerhedsfirmaet BlockSec bestyrket fællesskabsmedlemmets resultater ved at analysere den specifikke udnyttelsestransaktion. BlockSec bekræftede, at en udnyttelse faktisk fandt sted.
Hvordan skete udnyttelsen?
Når nogen ville satse mod en aktie på Mirror, var de nødt til det lås sikkerhedsstillelse — inklusive UST, LUNA Classic (LUNC) og mAssets — i mindst 14 dage.
Efter handelen var afsluttet, kunne brugerne låse op for sikkerheden for at frigive midlerne tilbage til tegnebogen. Alt dette blev gjort ved hjælp af smarte kontraktgenererede ID-numre.
Men på grund af buggy-kode kunne Mirrors låsekontrakt angiveligt ikke kontrollere, når nogen brugte det samme ID mere end én gang til at hæve penge.
I oktober 2021 bemærkede en ukendt enhed, at de kunne bruge en liste over duplikerede id'er til gentagne gange at låse op for hundredvis af gange mere sikkerhed, end de havde. Dette betød dybest set, at gerningsmanden kunne hæve penge uden tilladelse.
Denne enhed drænede omkring 90 millioner dollars i alt, ifølge blockchain-rekorder.
Gået ubemærket hen i syv måneder
Mirror-udnyttelsen kan være en af de sjældne begivenheder, hvor et større hack på trods af tilstedeværelsen af on-chain-data forblev uoplyst i lang tid. Normalt er projekter hurtige til at rapportere sikkerhedshændelser af hensyn til gennemsigtigheden.
BlockSec sagde, at udnyttelsen sandsynligvis gik ubemærket hen, fordi færre mennesker scannede efter problemer på Terra sammenlignet med Ethereum og Ethereum-kompatible kæder.
Derudover var der ingen grænseflade på Mirrors hjemmeside, der gjorde det muligt at kontrollere det samlede sikkerhedsbeløb i protokollen. Dette gjorde det meget sværere at bemærke sårbarheden uden at gennemsøge en stor mængde blockchain-data.
Tidligere på måneden fik Mirror-udviklere stille og roligt rettet sårbarheden, omtrent samtidig med, at UST stablecoin begyndte at kollapse. En uge senere efter patchen begyndte medlemmer af samfundet at spekulere på, om der kunne have været en udnyttelse, ifølge en regeringsdiskussion. Det er uklart, om Mirrors udviklere kendte til udnyttelsen.
Dette er dog ikke første gang, et hack er gået under radaren i kort tid. Da hackere stjal 600 millioner dollars fra Ronins sidekæde i marts 2022, gik der en uge, før nogen indså, at det var sket. Det var først, da brugerne fandt ud af, at de ikke var i stand til at hæve deres penge, at nogen indså, at der var en mangel.
Mirror Protocol, som er genstand for en SEC-undersøgelse, har endnu ikke givet en officiel kommentar til sagen. Teamet hos Mirror eller Terraform Labs har endnu ikke svaret på en anmodning om kommentar.
For flere spændende historier som denne, skal du sørge for at følge The Block på Twitter.
© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss