Die Entwickler des Mirror-Protokolls sollen eine große Sicherheitslücke vertuscht haben, durch die mehrere Millionen Dollar abgezweigt wurden.
@FatManTerra ist zurück mit neuen Anschuldigungen über Terras synthetisches Vermögensprotokoll Mirror. Konkret geht es um eine Schwachstelle im Zusammenhang mit dem Mirror-Sperrvertrag.
Seit das Terra-Fiasko Anfang Mai aufflog, hat @FatManTerra das Innenleben des Terra-Ökosystems unter die Lupe genommen. Die Enthüllungen zeichnen ein Bild von verdächtigen Vorgängen.
Die neuesten Anschuldigungen deuten darauf hin, dass die Terra-Nutzer schon viel länger im Unrecht sind, als bisher angenommen.
Spiegelprotokoll im Rampenlicht
Details, die am 26. Mai über soziale Medien geteilt wurden, behaupteten, dass Mirror Protocol möglicherweise nicht so dezentralisiert ist, wie es behauptet
@FatManTerra twitterte Details zu einer Untersuchung der Mirror-Walletts, von denen er vermutet, dass sie aktiv versuchen, ihren Einfluss zu verbergen, indem sie MIR-Token über Brenner-Wallets verbreiten
„Ich habe Beweise dafür gefunden, dass diese Wallet und verwandte Wallets sich sehr bemühen, den Anschein zu erwecken, dass die MIR-Governance nicht mehrheitlich von einem einzigen Unternehmen kontrolliert wird – sie tun dies, indem sie MIR auf mehrere neue anonyme Wallets aufteilen. „
Eine dieser Wallets ist mit dem CEO von Terraform Labs, Do Kwon, über eine Dezentrale Autonome Organisation (DAO) verbunden, in der er ein Berater ist.
Laut @FatManTerra könnte dies darauf hindeuten, dass hochrangige Personen innerhalb der Terra-Hierarchie die Governance manipulieren und davon profitieren
Frische Anschuldigungen
@FatManTerra twitterte auch Details über eine Sicherheitslücke im Mirror-Protokoll, die vor etwa 18 Tagen gestopft wurde, was mit dem Zeitpunkt zusammenfiel, als UST seinen Pflock verlor.
Was wäre, wenn ich Ihnen sagen würde, dass das Mirror Protocol bis vor 18 Tagen für einen der profitabelsten Exploits aller Zeiten anfällig war, der es einem Angreifer ermöglichte, aus 10.000 Dollar in einer einzigen Transaktion 4,3 Millionen Dollar zu machen? Und so habe ich das entdeckt – durch reinen Zufall.
– FatMan (@FatManTerra) May 27, 2022
Der betreffende Fehler bezieht sich auf den Mirror-Lock-Vertrag. Unter normalen Umständen sperren die Nutzer ihre Sicherheiten und können sie nach einer 14-tägigen Haltefrist mit einer Entsperrfunktion wieder freigeben.
Bis zur UST-Implosion verfügte der Code, der die Entsperrfunktion steuert, nicht über eine Duplikatsprüfung. Das bedeutet, dass ein Angreifer nach Ablauf der 14-tägigen Sperrfrist wiederholt Gelder freigeben konnte.
Darüber hinaus behauptete @FatManTerra, dass Mirror Protocol den Fehler gepatcht hat, ohne die Mirror-Gemeinschaft über seine Existenz zu informieren:
So – dieser Fehler existiert und wurde still und leise gepatcht – aber wir wissen nicht, ob ihn jemals jemand bemerkt oder ausgenutzt hat. Es wäre schwer zu überprüfen, da man dazu monatelange Datenketten und Millionen von Transaktionen durchforsten müsste – das Mirror-Forum hat sich nicht die Mühe gemacht. (5/12)
– FatMan (@FatManTerra) Mai 27, 2022
Weitere Untersuchungen zeigen, dass Angreifer den Fehler seit Oktober 2021 hunderte Male ausgenutzt haben.
Zwei Kaffees später, als ich schon aufgeben wollte, fand ich dies. Moment mal… Was ist denn hier los? Eine einzige Transaktion vom Oktober 2021, die eine Position immer und immer wieder freischaltet – und sie wurde tatsächlich ausgeführt. Hier ist die Transaktion: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
Die Verdachtsmomente wurden noch verstärkt, als eine der betroffenen Geldbörsen kurz vor der Aussetzung des Terra-Bindungsmechanismus einen UST-Dump durchführte.
Ein Community-Ermittler unter dem Benutzernamen PF92 sagte, dass mindestens 88 Millionen UST durch diese Sicherheitslücke gestohlen wurden.
@FatManTerra beendete den Tweetstorm mit der Aussage, dass er nicht weiß, wer dafür verantwortlich ist, aber die Ermittlungen fortsetzen wird.
Und so habe ich mit ein bisschen Glück und viel Recherche von einem der größten und doch einfachsten Smart-Contract-Exploits in der Geschichte der Blockchain erfahren, der fast ein Jahr lang unter dem Radar blieb. Wer hat das getan? Ich habe keine Ahnung, aber ich werde versuchen, es herauszufinden. (12/12)
– FatMan (@FatManTerra) May 27, 2022
