V říjnu loňského roku se podařilo zlomyslnému uživateli využít chybu v kódu Mirror Protocol a ukrást z platformy 90 milionů dolarů. Jenže to objevil obyčejný uživatel a vývojový tým o tom možná věděl.
Zrcadlu (MIR) bylo ukradeno 90 milionů dolarů
Zdá se, že i ty největší částky mohou někdy uniknout pozornosti vývojářů. Právě jsme se totiž dozvěděli, že v říjnu 2021 bylo odcizeno 90 milionů dolarů z decentralizovaného finančního protokolu (DeFi) Mirror (MIR) postaveného na blockchainu Terra Classic (LUNC).
Protokol Mirror umožňuje svým uživatelům shortovat nebo longovat zastupitelná aktiva na základě jejich reálné hodnoty. Jinými slovy, umožňuje uživatelům obchodovat s ekvivalenty akcií, jako je Apple, Amazon nebo Google, prostřednictvím orákula, které sleduje jejich skutečnou cenu.
S tímto odhalením přišel uživatel Twitteru „@FatManTerra“, známý svou aktivní účastí na výzkumném fóru Terra, zejména od oznámení blockchainového forku. Podle něj se škodlivému uživateli podařilo ukrást velké částky peněz z mnohem menších částek.
Co kdybych vám řekl, že protokol Mirror byl ještě před 18 dny náchylný k jednomu z nejvýnosnějších exploitů všech dob, který útočníkovi umožnil vygenerovat 4,3 milionu dolarů z 10 tisíc dolarů během jediné transakce? Tohle jsem zjistil čistě náhodou.
– FatMan (@FatManTerra) May 27, 2022
“ Co kdybych vám řekl, že protokol Mirror byl ještě před 18 dny náchylný k jednomu z nejvýnosnějších exploitů všech dob, který útočníkovi umožnil vygenerovat 4,3 milionu dolarů z 10 000 dolarů při jediné transakci? Tady je návod, jak jsem to zjistil – čistě náhodou. „
Co se stalo?
Zjednodušeně řečeno, zrcadlový protokol vám umožňuje krátit aktiva uložením jiného aktiva jako kolaterálu po dobu 2 týdnů. Pro investování je tedy nutné uzamknout UST, LUNA Classic (LUNC) nebo jiné kryptoměny.
Jakmile je transakce dokončena, může uživatel získat zpět svůj kolaterál prostřednictvím systému chytrých smluv. Díky chybě však útočník dokázal tuto operaci výběru několik setkrát zopakovat, aniž by kdy vložil další zástavu.
Smlouva o uzamčení neověřila, zda byly finanční prostředky odeslány ze smlouvy o ražbě. Útočník tedy otevřel pozici s kolaterálem 10 dolarů a poslal 10 000 dolarů přímo do smlouvy o uzamčení. Mohl by pak ze smlouvy smyčkou opakovaně vybírat zajištění jiných lidí.“
Blockchainová bezpečnostní společnost BlockSec potvrdila FatManova tvrzení prostřednictvím Twitteru, přičemž uvedla, že transakce byly viditelné z průzkumníka bloků Terra Classic, a zároveň potvrdila, že protokol byl skutečně zneužit.
Podle údajů z řetězce útočník ukradl celkem téměř 90 milionů dolarů. Jedná se o poměrně vysokou částku, která byla zřejmě objevena teprve nedávno.
Uživatelé protokolu Mirror si však 17. května všimli, že byla aplikována oprava, která měla zabránit duplikaci těchto příkazů, což vyvolalo spekulace, že protokol provádí skrytý útok.
Nyní, když byla fakta zjištěna a potvrzena, zbývá zjistit, zda si toho byl tým, který stojí za projektem Mirror, vědom, nebo ne.
