Los desarrolladores del Protocolo Mirror supuestamente encubrieron un importante exploit que condujo al desvío de decenas de millones de dólares.
@FatManTerra vuelve a la carga con nuevas acusaciones sobre el protocolo de activos sintéticos de Terra, Mirror. En concreto, un exploit relacionado con el contrato de bloqueo de Mirror.
Desde que el fiasco de Terra estalló a principios de mayo, @FatManTerra ha estado levantando la tapa sobre el funcionamiento interno del ecosistema de Terra. Las revelaciones pintan un cuadro de actividades sospechosas.
Las últimas acusaciones sugieren además que los usuarios de Terra han estado en la cuerda floja durante mucho más tiempo del que se suponía.
Protocolo Espejo en el punto de mira
Detalles compartidos a través de las redes sociales el 26 de mayo alegaban que Mirror Protocol podría no estar tan descentralizado como afirma
@FatManTerra tuiteó detalles de una investigación sobre las carteras de ballenas de Mirror, de las que sospecha que están tratando activamente de ocultar su influencia mediante la difusión de tokens MIR a través de carteras de quemadores.
«He encontrado pruebas de que este monedero y los monederos relacionados se esfuerzan por hacer que parezca que la gobernanza de MIR no está controlada mayoritariamente por una sola entidad – lo hacen repartiendo MIR entre varios monederos anónimos frescos. «
Uno de estos monederos está vinculado al CEO de Terraform Labs, Do Kwon, a través de una Organización Autónoma Descentralizada (DAO), de la que es asesor.
Uniendo todo esto, @FatManTerra sugiere que esto puede apuntar a figuras de alto nivel dentro de la jerarquía de Terra manipulando la gobernanza y beneficiándose como resultado.
Nuevas acusaciones
@FatManTerra también tuiteó detalles de un exploit en el Protocolo Espejo que fue tapado hace aproximadamente 18 días, lo que coincidió con el momento en que UST perdió su clavija.
¿Y si te dijera que el Protocolo Mirror, hasta hace 18 días, era susceptible de uno de los exploits más rentables de todos los tiempos, permitiendo a un atacante generar 4,3 millones de dólares a partir de 10 mil dólares en una sola transacción? Así es como descubrí esto: por pura serendipia.
– FatMan (@FatManTerra) May 27, 2022
El fallo en cuestión está relacionado con el contrato de bloqueo Mirror. En circunstancias normales, los usuarios bloquean sus garantías y, tras un periodo de retención de 14 días, pueden utilizar una función de desbloqueo para liberarlas.
Hasta la implosión de UST, el código que gobernaba la función de desbloqueo no tenía una comprobación de duplicación. Lo que significa que un atacante podía liberar repetidamente los fondos después del periodo de bloqueo de 14 días.
Es más, @FatManTerra alegó que el Protocolo Mirror parcheó el fallo sin informar a la comunidad Mirror de que siquiera existía.
Así que – este bug existe y fue parcheado silenciosamente – pero no sabemos si alguien lo notó o lo explotó antes. Sería difícil comprobarlo ya que habría que rebuscar entre meses de datos de la cadena y millones de transacciones – el foro de Mirror no se molestó. (5/12)
– FatMan (@FatManTerra) 27 de mayo de 2022
Las investigaciones posteriores muestran que los atacantes han explotado el fallo cientos de veces desde octubre de 2021.
Dos cafés después, cuando estaba a punto de rendirme, encontré esto. Espera… ¿Qué está pasando aquí? Una sola transacción de octubre de 2021 desbloqueando una posición una y otra vez – y realmente se ejecutó. Aquí está la transacción: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) 27 de mayo de 2022
Las sospechas se dispararon aún más cuando uno de los monederos implicados realizó un volcado de UST justo antes de la suspensión del mecanismo de fijación de Terra.
Un investigador de la comunidad bajo el nombre de usuario PF92 dijo que al menos 88 millones de UST fueron robados a través de esta vulnerabilidad.
@FatManTerra cerró la tormenta de tweets diciendo que no sabe quién es el responsable pero que seguirá investigando.
Y así es como con un poco de suerte y mucha investigación, me enteré de uno de los mayores y a la vez más simples exploits de contratos inteligentes en la historia de blockchain que pasó bajo el radar durante casi un año. ¿Quién lo hizo? No tengo ni idea, pero intentaré averiguarlo. (12/12)
– FatMan (@FatManTerra) 27 de mayo de 2022
