Gli sviluppatori del Protocollo Mirror avrebbero coperto un importante exploit che ha portato al furto di decine di milioni di dollari.
@FatManTerra è tornato con nuove accuse sul protocollo Mirror per le risorse sintetiche di Terra. In particolare, un exploit relativo al contratto di lock di Mirror.
Da quando il fiasco di Terra è esploso a maggio, @FatManTerra ha sollevato il coperchio sul funzionamento interno dell’ecosistema Terra. Le rivelazioni hanno delineato un quadro di attività sospette.
Le ultime accuse suggeriscono inoltre che gli utenti di Terra sono stati vittime di un affare molto più lungo di quanto si pensasse in precedenza.
Protocollo Mirror sotto i riflettori
I dettagli condivisi tramite i social media il 26 maggio sostengono che il Mirror Protocol potrebbe non essere così decentralizzato come afferma
@FatManTerra ha twittato i dettagli di un’indagine sui portafogli balena di Mirror, che sospetta stiano attivamente cercando di nascondere la loro influenza diffondendo i token MIR tra i portafogli bruciatori.
“Ho trovato prove del fatto che questo portafoglio e altri portafogli correlati cercano in tutti i modi di far sembrare che la governance di MIR non sia controllata a maggioranza da un’unica entità – e lo fanno suddividendo MIR tra diversi portafogli anonimi”.
Uno di questi portafogli è collegato al CEO di Terraform Labs Do Kwon tramite un’organizzazione autonoma decentralizzata (DAO), di cui è consulente.Collegando tutto questo, @FatManTerra suggerisce che ciò potrebbe indicare che figure di alto livello all’interno della gerarchia di Terra manipolano la governance e ne traggono profitto.
Fresche accuse
@FatManTerra ha anche twittato i dettagli di un exploit sul Protocollo Mirror che è stato chiuso circa 18 giorni fa, il che coincide con il momento in cui UST ha perso il suo peg.
E se vi dicessi che il Mirror Protocol, fino a 18 giorni fa, era soggetto a uno degli exploit più redditizi di tutti i tempi, che permetteva a un aggressore di generare 4,3 milioni di dollari da 10.000 dollari in una singola transazione? Ecco come l’ho scoperto: per pura serendipità.
– FatMan (@FatManTerra) May 27, 2022
Il bug in questione riguarda il contratto Mirror lock. In circostanze normali, gli utenti bloccano il loro collaterale e, dopo un periodo di detenzione di 14 giorni, possono utilizzare una funzione di sblocco per rilasciare il collaterale.
Fino all’implosione degli UST, il codice che regolava la funzione di sblocco non prevedeva un controllo di duplicazione. Ciò significa che un aggressore poteva ripetutamente sbloccare i fondi dopo il periodo di blocco di 14 giorni.
Inoltre, @FatManTerra ha affermato che Mirror Protocol ha patchato il bug senza informare la comunità di Mirror della sua esistenza.
Quindi, questo bug esiste ed è stato tranquillamente patchato, ma non sappiamo se qualcuno lo abbia mai notato o sfruttato prima. Sarebbe difficile da controllare, dato che bisognerebbe setacciare mesi di dati della catena e milioni di transazioni – il forum del Mirror non si è preoccupato. (5/12)
– FatMan (@FatManTerra) 27 maggio 2022
Ulteriori indagini mostrano che gli aggressori hanno sfruttato il bug centinaia di volte dall’ottobre 2021.
Due caffè dopo, mentre stavo per arrendermi, ho trovato questo. Aspettate… Cosa sta succedendo? Un’unica transazione dell’ottobre 2021 che sblocca una posizione più e più volte – ed è stata effettivamente eseguita. Ecco la transazione: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
I sospetti sono stati ulteriormente alimentati quando uno dei portafogli coinvolti ha effettuato un dump di UST poco prima della sospensione del meccanismo di pegging di Terra.
Un investigatore della comunità con il nome utente PF92 ha dichiarato che almeno 88 milioni di UST sono stati rubati attraverso questa vulnerabilità.
@FatManTerra ha concluso il tweetstorm dicendo che non sa chi sia il responsabile ma che continuerà a indagare.
Ed è così che, con un po’ di fortuna e molte ricerche, ho scoperto uno dei più grandi e allo stesso tempo più semplici exploit di smart contract nella storia della blockchain, passato sotto silenzio per quasi un anno. Chi è stato? Non ne ho idea, ma cercherò di scoprirlo. (12/12)
– FatMan (@FatManTerra) 27 maggio 2022