Un usuario malicioso consiguió aprovechar un fallo en el código del Protocolo Mirror el pasado mes de octubre para robar 90 millones de dólares de la plataforma. Sólo que fue descubierto por un usuario común y corriente, y el equipo de desarrollo puede haberlo sabido.
Mirror (MIR) sufrió el robo de 90 millones de dólares
Parece que incluso las sumas más grandes a veces pueden escapar a la atención de los desarrolladores. De hecho, acabamos de conocer que a Mirror (MIR), un protocolo de finanzas descentralizadas (DeFi) construido sobre la blockchain Terra Classic (LUNC), le robaron 90 millones de dólares en octubre de 2021.
El protocolo Mirror permite a sus usuarios ponerse en corto o en largo con activos fungibles en función de su valor real. En otras palabras, permite a los usuarios operar con equivalentes bursátiles como Apple, Amazon o Google a través de un oráculo que controla su precio real.
La revelación proviene del usuario de Twitter «@FatManTerra», conocido por su activa participación en el foro de investigación de Terra, especialmente desde el anuncio de la bifurcación del blockchain. Según él, el usuario malicioso consiguió robar grandes sumas de dinero de cantidades mucho más pequeñas.
¿Y si te dijera que el Protocolo Mirror, hasta hace 18 días, era susceptible de uno de los exploits más rentables de todos los tiempos, permitiendo a un atacante generar 4,3 millones de dólares a partir de 10 mil dólares en una sola transacción? Así es como descubrí esto: por pura serendipia.
– FatMan (@FatManTerra) May 27, 2022
» ¿Y si te dijera que el Protocolo Mirror, hasta hace 18 días, era susceptible de uno de los exploits más rentables de todos los tiempos, que permitía a un atacante generar 4,3 millones de dólares a partir de 10.000 dólares en una sola transacción? Así es como lo descubrí: por pura serendipia. «
¿Qué pasó?
A grandes rasgos, el Protocolo Espejo le permite ponerse en corto en activos depositando otro activo como garantía durante 2 semanas. Por lo tanto, es necesario bloquear UST, LUNA Classic (LUNC) u otras criptodivisas para poder invertir.
Una vez completada la transacción, el usuario puede recuperar su garantía a través de un sistema de contrato inteligente. Sin embargo, debido a un fallo, el atacante pudo repetir esta operación de retirada varios cientos de veces, sin llegar a depositar garantías adicionales.
El contrato de cierre no verificó el envío de fondos del contrato de acuñación. Así que el atacante abrió una posición con 10 dólares de garantía y envió 10.000 dólares directamente al contrato de bloqueo. De esta forma, podría repetir la garantía de otras personas a partir del contrato. «
La empresa de seguridad de blockchain BlockSec corroboró las afirmaciones de FatMan a través de Twitter, indicando que las transacciones eran visibles desde el explorador de bloques de Terra Classic y, al mismo tiempo, confirmando que el protocolo fue efectivamente explotado.
Según los datos de la cadena, nuestro atacante robó un total de casi 90 millones de dólares. Se trata de una suma de dinero bastante importante, que al parecer acaba de ser descubierta.
Sin embargo, los usuarios del Protocolo Mirror observaron el 17 de mayo que se había aplicado un parche precisamente para evitar la duplicación de estas órdenes, lo que había dado lugar a especulaciones de que el protocolo estaba llevando a cabo un ataque encubierto.
Ahora que los hechos han sido establecidos y confirmados, queda por ver si el equipo detrás de Mirror era consciente de ello o no.
