Einem böswilligen Nutzer gelang es im Oktober letzten Jahres, eine Schwachstelle im Code von Mirror Protocol auszunutzen, um 90 Millionen Dollar von der Plattform zu entwenden. Nur wurde der Sachverhalt erst jetzt von einem normalen Benutzer entdeckt, und es könnte sein, dass das Entwicklerteam davon wusste.
Mirror (MIR) wurden 90 Millionen Dollar gestohlen
Es scheint, dass selbst die größten Summen manchmal der Aufmerksamkeit von Entwicklern entgehen können. Tatsächlich haben wir gerade erfahren, dass Mirror (MIR), einem dezentralen Finanzprotokoll (DeFi), das auf der Terra Classic-Blockchain (LUNC) aufbaut, im Oktober 2021 90 Millionen US-Dollar entwendet wurden.
Das Mirror-Protokoll ermöglicht es seinen Nutzern, fungible Vermögenswerte, die ihrem tatsächlichen Wert nachempfunden sind, zu shorten oder zu longieren. Mit anderen Worten: Es ermöglicht den Handel mit Aktienäquivalenten wie Apple, Amazon oder Google über ein Orakel, das die Aufgabe hat, den tatsächlichen Kurs zu überwachen.
Die Enthüllung stammt von dem Twitter-Nutzer „@FatManTerra“, der für seine aktive Teilnahme am Terra-Forschungsforum bekannt ist, insbesondere seit der Ankündigung der Blockchain-Fork. Ihm zufolge hätte der böswillige Nutzer es geschafft, von weitaus geringeren Beträgen ausgehend große Summen zu stehlen.
Was wäre, wenn ich Ihnen erzählt hätte, dass das Mirror Protocol bis vor 18 Tagen anfällig für einen der profitabelsten Exploits aller Zeiten war, der es einem Angreifer ermöglichte, in einer einzigen Transaktion 4,3 Mio. $ aus 10k $ zu generieren? Hier ist, wie ich das herausgefunden habe – durch reinen Zufall.
– FatMan (@FatManTerra) May 27, 2022
“ Was wäre, wenn ich Ihnen sagen würde, dass Mirror Protocol bis vor 18 Tagen anfällig für einen der profitabelsten Exploits aller Zeiten war, mit dem ein Angreifer aus 10.000 US-Dollar in einer einzigen Transaktion 4,3 Millionen US-Dollar generieren konnte? Hier ist, wie ich das herausgefunden habe – durch reine Serendipität. „
Was ist passiert?
Im Großen und Ganzen ermöglicht Mirror Protocol das Shorten von Vermögenswerten, indem ein anderer Vermögenswert zwei Wochen lang als Sicherheit hinterlegt wird. Es ist also notwendig, UST, LUNA Classic (LUNC) oder andere Kryptowährungen zu sperren, um investieren zu können.
Sobald die Transaktion abgeschlossen ist, kann der Nutzer seine als Collateral hinterlegten Vermögenswerte über ein Smart Contracting-System zurückerhalten. Aufgrund einer Schwachstelle konnte der Angreifer diese Abhebungsoperation jedoch mehrere hundert Mal wiederholen, ohne jemals zusätzliche Sicherheiten zu hinterlegen.
“ Der Sperrvertrag überprüfte nicht, ob die Gelder aus dem Minting-Vertrag gesendet wurden. Der Angreifer eröffnete daher eine Position mit 10 US-Dollar als Sicherheit und schickte 10.000 US-Dollar direkt an den Sperrvertrag. Er konnte dann in einer Endlosschleife die Sicherheiten anderer Personen wieder und wieder vom Vertrag aus entsperren. „
Das Blockchain-Sicherheitsunternehmen BlockSec bestätigte FatMans Aussagen via Twitter, indem es darauf hinwies, dass die Transaktionen über den Block-Explorer von Terra Classic sichtbar waren, und gleichzeitig bestätigte, dass das Protokoll tatsächlich ausgenutzt wurde.
Den On-Chain-Daten zufolge hat unser Angreifer insgesamt fast 90 Millionen US-Dollar erbeutet. Das ist eine beträchtliche Summe, die erst jetzt entdeckt wurde.
Am 17. Mai stellten Benutzer des Mirror Protocol jedoch fest, dass ein Patch aufgespielt worden war, um die Duplizierung dieser Aufträge zu verhindern, was Spekulationen über einen versteckten Angriff auf das Protokoll zuließ.
Nun, da die Fakten feststehen und bestätigt sind, bleibt also die Frage, ob das Team hinter Mirror davon wusste oder nicht.
