Les développeurs de Mirror Protocol auraient couvert un exploit majeur qui a conduit au siphonage de dizaines de millions de dollars.
@FatManTerra est de retour avec de nouvelles allégations concernant le protocole Mirror pour les actifs synthétiques de Terra. Plus précisément, un exploit lié au contrat de verrouillage de Mirror.
Depuis que le fiasco de Terra a éclaté au début du mois de mai, @FatManTerra a levé le voile sur les rouages internes de l’écosystème Terra. Les révélations font état d’agissements suspects.
Les dernières allégations suggèrent en outre que les utilisateurs de Terra ont été durement touchés pendant beaucoup plus longtemps que prévu.
Le protocole miroir sous les projecteurs
Les détails partagés sur les médias sociaux le 26 mai indiquent que Mirror Protocol pourrait ne pas être aussi décentralisé qu’il le prétend.
@FatManTerra a tweeté les détails d’une enquête sur les portefeuilles baleines de Mirror, qu’il soupçonne d’essayer activement de dissimuler leur influence en répartissant les jetons MIR sur des portefeuilles baleines
« J’ai trouvé des preuves que ce porte-monnaie et les porte-monnaie associés essaient très fort de faire croire que la gouvernance de MIR n’est pas contrôlée majoritairement par une seule entité – ils le font en divisant MIR entre plusieurs porte-monnaie anonymes récents. «
L’un de ces portefeuilles est lié au PDG de Terraform Labs, Do Kwon, par l’intermédiaire d’une organisation autonome décentralisée (DAO), pour laquelle il est conseiller.
En reliant tout cela, @FatManTerra suggère que cela pourrait indiquer que des personnages haut placés dans la hiérarchie de Terra manipulent la gouvernance et en tirent profit.
Fresh allegations
@FatManTerra a également tweeté des détails sur un exploit sur le protocole miroir qui a été bouché il y a environ 18 jours, ce qui coïncide avec le moment où UST a perdu sa cheville.
Et si je vous disais que le Mirror Protocol, jusqu’à il y a 18 jours, était sensible à l’un des exploits les plus rentables de tous les temps, permettant à un attaquant de générer 4,3 millions de dollars à partir de 10 000 dollars en une seule transaction ? Voici comment j’ai découvert cela – par pure sérendipité.
– FatMan (@FatManTerra) May 27, 2022
Le bogue en question concerne le contrat de verrouillage des miroirs. Dans des circonstances normales, les utilisateurs verrouillent leur collatéral, et après une période de détention de 14 jours, ils peuvent utiliser une fonction de déverrouillage pour libérer le collatéral.
Jusqu’à l’implosion d’UST, le code qui régit la fonction de déverrouillage n’avait pas de contrôle de duplication. Ce qui signifie qu’un attaquant pouvait libérer des fonds à plusieurs reprises après la période de blocage de 14 jours.
De plus, @FatManTerra prétend que Mirror Protocol a corrigé le bogue sans informer la communauté Mirror de son existence.
Donc – ce bug existe et a été discrètement corrigé – mais nous ne savons pas si quelqu’un l’a remarqué ou l’a exploité auparavant. Il serait difficile de le vérifier car il faudrait passer au crible des mois de données de chaînes et des millions de transactions – le forum Mirror ne s’en est pas donné la peine. (5/12)
– FatMan (@FatManTerra) May 27, 2022
Des investigations supplémentaires montrent que les attaquants ont exploité le bug des centaines de fois depuis octobre 2021.
Deux cafés plus tard, alors que j’étais sur le point d’abandonner, j’ai trouvé ceci. Attendez… Qu’est-ce qui se passe ici ? Une seule transaction d’octobre 2021 débloquant une position encore et encore – et elle a été exécutée. Voici la transaction : https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
Les soupçons ont été renforcés par le fait que l’un des portefeuilles concernés a effectué un dump UST juste avant la suspension du mécanisme d’ancrage Terra.
Un enquêteur de la communauté sous le nom d’utilisateur PF92 a déclaré qu’au moins 88 millions d’UST avaient été volés grâce à cette vulnérabilité.
@FatManTerra a conclu la tempête de tweets en disant qu’il ne savait pas qui était responsable mais qu’il continuerait à enquêter.
Et c’est ainsi qu’avec un peu de chance et beaucoup de recherche, j’ai découvert l’un des plus grands et pourtant plus simples exploits de contrat intelligent dans l’histoire de la blockchain qui est passé sous le radar pendant presque un an. Qui a fait ça ? Je n’en ai aucune idée, mais je vais essayer de le découvrir. (12/12)
– FatMan (@FatManTerra) May 27, 2022