Mirror Protocol, en DeFi-applikation bygget på den gamle Terra blockchain, blev angrebet af en udnyttelse på 90 millioner dollars i oktober 2021, og den forblev fuldstændig uopdaget indtil sidste uge. Angriberen var i stand til at låse op for sikkerhedsstillelse fra protokollen flere gange, mens han blot betalte et lille gebyr hver gang.
Terras DeFi angrebet for syv måneder siden
En dyr Terra DeFi-udnyttelse blev urapporteret i syv måneder indtil sidste uge. Mirror Protocol, bygget på Terra blockchain, tillod brugere at anvende syntetiske aktiver til at tage lange eller korte positioner i teknologiaktier.
Protokollens driftsmekanisme blev dog hacket for 90 millioner dollars. Terra-kæden DeFi-angrebet blev først fundet i sidste uge af et Terra-fællesskabsmedlem og analytiker ved navn "FatMan", og er nu blevet bekræftet af sikkerhedsanalytikere BlockSec.
Fællesskabsmedlemmer afdækket en svaghed i Mirror Protocols kode den 17. maj, hvilket gør det muligt for en hacker at dræne op til $90 millioner fra den 8. oktober 2021.
Ifølge FatMan, der siger han opdagede hacket ved "ren serendipity", angriberen stjal $89,706,164.03 fra protokollen takket være en udnyttelse, der gjorde det muligt for dem at låse op for sikkerhed fra låsekontrakten "igen og igen til lave omkostninger og ingen risiko."
Terra Classic on-chain statistik afslørede at angriberen var i stand til at frigive UST-midler fra protokollen mange gange inden for den samme transaktion for kun $17.54 hver gang.
Ved at studere den præcise udnyttelsestransaktion har sikkerhedsfirmaet BlockSec bekræftet samfundsmedlemmets resultater.
Hvordan det skete
Brugere skal låse sikkerhed i mindst fjorten dage for at kunne satse mod en aktie på Mirror. Den originale Terra digitale valuta, LUNA, blev inkluderet i denne sikkerhed (nu LUNA Classic eller LUNC). mAssets og den nu hedengangne stablecoin UST var også involveret.
Brugere var i stand til at låse op for sikkerheden og returnere pengene til deres tegnebøger, når handlen var afsluttet.
Desuden hjalp brugen af intelligente kontraktgenererede ID-numre denne procedure. Låsekontrakten for Mirror Protocol var imidlertid ude af stand til at kontrollere, om en bruger tidligere havde brugt det samme ID til at hæve penge på grund af tilstedeværelsen af en fejl.
Relateret læsning | Thailand gør sig klar til digital økonomi, fjerner kryptooverførsler fra moms indtil udgangen af 2023
Men Mirrors låsekontrakt kunne tilsyneladende ikke kontrollere, når nogen brugte det samme ID til at hæve penge mange gange på grund af en fejl i koden.
I oktober 2021 opdagede en uidentificeret enhed, at en liste over dublet-id'er kunne bruges til gentagne gange at låse op for hundredvis af gange mere sikkerhed, end de havde. Dette betød i det væsentlige, at den kriminelle kan hæve penge uden tilladelse.
Et nyt angreb
Den 30. maj, få dage efter opdagelsen, blev DeFi-protokollen igen målrettet.
Ifølge rapporter, det nyeste hack var foranlediget af en fejl i indstillingen af virksomhedens prisorakler, som gjorde det muligt for angriberen at drage fordel af en prisforskel mellem de gamle LUNC og nye LUNA-tokens.
Terra-noderne kørte forældet oracle-software, som gjorde det muligt for angrebet at finde sted. Hackeren stjal op mod 2 millioner dollars fra protokollen, ifølge Chainlink-fællesskabsmedlemmet, der opdagede angrebet.
Terra/USD konsoliderer sig efter næsten-nul nedbrud. Kilde: TradingView
Det er ikke første gang, et hack er gået ubemærket hen i en kort periode. I marts 2022, hackere stjal 600 millioner dollars fra Ronin sidekæden, og det tog en uge for nogen at bemærke. Det var ikke før brugerne opdaget de kunne ikke hæve deres penge, som nogen indså, at der var et problem.
Mirror Protocol, som er bliver undersøgt af Securities and Exchange Commission, har endnu ikke afgivet en officiel udtalelse om situationen.
Mirror Protocol-teamet har endnu ikke udsendt en erklæring om udnyttelsen, hvilket har givet anledning til forargelse i samfundet. FatMan mener derimod, at der er "overbevisende beviser" for, at hackeren var en insider.
Selvom dette ikke er den første DeFi-udnyttelse i historien, er det den, der har taget længst tid at blive opdaget. Terra er under meget bevågenhed, da presset hober sig op.
Relateret læsning | Not So Great Wall: Hvordan Kina mislykkedes elendigt med at forbyde Bitcoin-minedrift
Udvalgt billede fra Shutterstock og diagram fra TradingView.com
Kilde: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/