Vývojáři Mirror Protocol údajně zatajili rozsáhlý exploit, který vedl k odčerpání desítek milionů dolarů.
@FatManTerra se vrací s novými obviněními ohledně protokolu Mirror pro syntetická aktiva společnosti Terra. Konkrétně se jedná o exploit související se smlouvou o uzamčení Mirroru.
Od chvíle, kdy na začátku května vypuklo fiasko s Terrou, zvedá @FatManTerra pokličku nad vnitřním fungováním ekosystému Terra. Odhalení vykreslují obraz podezřelého dění.
Nejnovější obvinění dále naznačují, že uživatelé systému Terra byli na dně mnohem déle, než se dosud předpokládalo.
Mirror Protocol pod drobnohledem
Detaily sdílené prostřednictvím sociálních médií 26. května tvrdí, že protokol Mirror možná není tak decentralizovaný, jak tvrdí.
@FatManTerra zveřejnil na Twitteru podrobnosti o vyšetřování velrybích peněženek Mirror, které podezírá, že se aktivně snaží zakrýt svůj vliv tím, že šíří tokeny MIR přes vypalovací peněženky.
„Našel jsem důkazy, že se tato peněženka a s ní spojené peněženky velmi snaží, aby to vypadalo, že správa MIR není většinově kontrolována jediným subjektem – dělají to tak, že rozdělují MIR mezi několik čerstvých anonymních peněženek. „
Jedna z těchto peněženek je spojena s generálním ředitelem společnosti Terraform Labs Do Kwonem prostřednictvím decentralizované autonomní organizace (DAO), v níž je poradcem.
Když to všechno spojíme dohromady, @FatManTerra naznačuje, že to může ukazovat na vyšší postavy v hierarchii společnosti Terra, které manipulují s řízením a v důsledku toho profitují.
Čerstvá obvinění
@FatManTerra také na Twitteru zveřejnil podrobnosti o exploitu na Mirror Protocol, který byl zapojen zhruba před 18 dny, což se shodovalo s dobou, kdy UST přišel o svůj kolík.
Co kdybych vám řekl, že protokol Mirror byl ještě před 18 dny náchylný k jednomu z nejvýnosnějších exploitů všech dob, který útočníkovi umožnil vygenerovat 4,3 milionu dolarů z 10 tisíc dolarů v jediné transakci? Tady je návod, jak jsem to zjistil – čistě náhodou.
– FatMan (@FatManTerra) May 27, 2022
Dotyčná chyba se týká smlouvy o uzamčení zrcadla. Za normálních okolností uživatelé uzamknou své zajištění a po uplynutí 14denní doby držení mohou použít funkci odemknutí k uvolnění zajištění.
Až do imploze UST neměl kód, který řídil funkci odemknutí, duplicitní kontrolu. To znamená, že útočník mohl opakovaně uvolnit finanční prostředky po uplynutí 14denní doby uzamčení.
Navíc @FatManTerra tvrdil, že protokol Mirror tuto chybu opravil, aniž by komunitu Mirror informoval, že vůbec existuje.
Takže – tato chyba existuje a byla v tichosti opravena – ale nevíme, jestli si jí někdo někdy předtím všiml nebo ji využil. Bylo by těžké to zkontrolovat, protože byste museli projít měsíce dat o řetězcích a miliony transakcí – na fóru Mirror se s tím neobtěžovali. (5/12)
– FatMan (@FatManTerra) 27. května 2022
Další vyšetřování ukazuje, že útočníci chybu od října 2021 zneužili stokrát.
O dvě kávy později, když už jsem to chtěl vzdát, jsem našel tohle. Počkejte… Co se to tu děje? Jediná transakce z října 2021 odemykající jednu pozici stále dokola – a skutečně se provedla. Tady je ta transakce: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) 27. května 2022
Podezření dále vyvolalo, když jedna ze zúčastněných peněženek načasovala výprodej UST těsně před pozastavením mechanismu zavěšování Terra.
Komunitní vyšetřovatel pod uživatelským jménem PF92 uvedl, že prostřednictvím této zranitelnosti bylo odcizeno nejméně 88 milionů UST.
@FatManTerra se pod tweetstorm podepsal s tím, že neví, kdo je za to zodpovědný, ale bude pokračovat ve vyšetřování.
A tak jsem se s trochou štěstí a spoustou pátrání dozvěděl o jednom z největších a přitom nejjednodušších exploitů chytrých kontraktů v historii blockchainu, který se téměř rok skrýval pod radarem. Kdo to udělal? To netuším, ale pokusím se to zjistit. (12/12)
– FatMan (@FatManTerra) 27. května 2022