Твърди се, че разработчиците на Mirror Protocol са прикрили голям експлойт, довел до източването на десетки милиони долари.
@FatManTerra се завръща с нови обвинения относно протокола Mirror за синтетични активи на Terra. По-конкретно за експлойт, свързан с договора за заключване на Mirror.
Откакто фиаското на Terra избухна по-рано през май, @FatManTerra повдига капака на вътрешната работа на екосистемата Terra. Разкритията очертават картина на подозрителни действия.
Последните твърдения допълнително подсказват, че потребителите на Terra са били в неравностойно положение много по-дълго, отколкото се предполагаше досега.
Протоколът за огледала под светлината на прожекторите
Детайли, споделени чрез социалните медии на 26 май, твърдят, че Mirror Protocol може да не е толкова децентрализиран, колкото твърди.
@FatManTerra съобщи в Twitter подробности за разследване на китовите портфейли на Mirror, за които подозира, че активно се опитват да прикрият влиянието си, като разпространяват токени MIR в портфейли за изгаряне.
„Открих доказателства, че този портфейл и свързаните с него портфейли се опитват много усилено да направят така, че да изглежда, че управлението на MIR не се контролира мажоритарно от един субект – те правят това, като разделят MIR между няколко свежи анонимни портфейла. „
Един от тези портфейли е свързан с главния изпълнителен директор на Terraform Labs До Квон чрез децентрализирана автономна организация (DAO), на която той е съветник.
Свързвайки всичко това, @FatManTerra предполага, че това може да сочи към висши фигури в йерархията на Terra, които манипулират управлението и печелят в резултат на това.
Нови обвинения
@FatManTerra също така съобщи в Twitter подробности за експлойт в огледалния протокол, който е бил включен преди около 18 дни, което съвпада с времето, когато UST е загубила своето колче.
Какво ще кажете, ако ви кажа, че допреди 18 дни протоколът Mirror Protocol е бил податлив на един от най-печелившите експлойти на всички времена, позволяващ на атакуващия да генерира 4,3 млн. долара от 10 хил. долара с една транзакция? Ето как открих това – по чиста случайност.
– FatMan (@FatManTerra) May 27, 2022
Въпросната грешка е свързана с договора за заключване на огледалото. При нормални обстоятелства потребителите заключват своето обезпечение и след 14-дневен период на задържане могат да използват функцията за отключване, за да освободят обезпечението.
До имплозията на UST кодът, който управляваше функцията за отключване, нямаше проверка за дублиране. Това означава, че нападателят можеше многократно да освободи средства след 14-дневния период на блокиране.
Нещо повече, @FatManTerra твърди, че протоколът Mirror е поправил грешката, без да информира общността на Mirror, че тя дори съществува.
Така че – този бъг съществува и е бил тихомълком закърпен – но не знаем дали някой някога го е забелязал или използвал преди това. Би било трудно да се провери, тъй като ще трябва да се пресеят месеци данни за веригата и милиони транзакции – форумът Mirror не си е направил труда. (5/12)
– FatMan (@FatManTerra) May 27, 2022
Допълнителните разследвания показват, че нападателите са използвали грешката стотици пъти от октомври 2021 г. насам.
Две кафета по-късно, когато бях на път да се откажа, открих това. Чакайте… Какво се случва тук? Една-единствена транзакция от октомври 2021 г., която отключва една позиция отново и отново – и тя действително се изпълнява. Ето я транзакцията: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
Подозренията се породиха още повече, когато един от участващите портфейли направи дъмпинг на UST точно преди спирането на механизма за обвързване на Тера.
Разследващ от общността под потребителското име PF92 заяви, че чрез тази уязвимост са били откраднати най-малко 88 милиона UST.
@FatManTerra подписа туитър-бурята, като заяви, че не знае кой е отговорен, но ще продължи разследването.
AИ така с малко късмет и много проучвания разбрах за един от най-големите и същевременно най-прости експлойти на интелигентни договори в историята на блокчейн, който остана под радара почти година. Кой го направи? Нямам представа, но ще се опитам да разбера. (12/12)
– FatMan (@FatManTerra) May 27, 2022