Lo scorso ottobre un utente malintenzionato è riuscito a sfruttare una falla nel codice del Mirror Protocol per rubare 90 milioni di dollari dalla piattaforma. Solo che è stato appena scoperto da un utente comune e il team di sviluppo potrebbe esserne a conoscenza.
Mirror (MIR) ha subito un furto di 90 milioni di dollari
Sembra che anche le somme più ingenti possano talvolta sfuggire all’attenzione degli sviluppatori. Infatti, abbiamo appena appreso che Mirror (MIR), un protocollo di finanza decentralizzata (DeFi) costruito sulla blockchain Terra Classic (LUNC), ha subito un furto di 90 milioni di dollari nell’ottobre 2021.
Il protocollo Mirror consente ai suoi utenti di vendere o vendere asset fungibili in base al loro valore reale. In altre parole, permette agli utenti di fare trading su azioni equivalenti come Apple, Amazon o Google attraverso un oracolo che ne monitora il prezzo reale.
La rivelazione proviene dall’utente Twitter “@FatManTerra”, noto per la sua partecipazione attiva al forum di ricerca Terra, soprattutto dopo l’annuncio del fork della blockchain. Secondo lui, l’utente malintenzionato è riuscito a rubare grandi somme di denaro da importi molto più piccoli.
E se vi dicessi che il Protocollo Mirror, fino a 18 giorni fa, era suscettibile di uno degli exploit più redditizi di tutti i tempi, che permetteva a un aggressore di generare 4,3 milioni di dollari da 10.000 dollari in una singola transazione? Ecco come l’ho scoperto: per pura serendipità.
– FatMan (@FatManTerra) 27 maggio 2022
” E se vi dicessi che il Mirror Protocol, fino a 18 giorni fa, era suscettibile di uno degli exploit più redditizi di tutti i tempi, che permetteva a un aggressore di generare 4,3 milioni di dollari da 10.000 dollari in una singola transazione? Ecco come l’ho scoperto – per pura serendipità. “
Cosa è successo?
In termini generali, il Protocollo Mirror consente di effettuare operazioni di shorting su attività depositando un’altra attività come garanzia per 2 settimane. È quindi necessario bloccare UST, LUNA Classic (LUNC) o altre criptovalute per poter investire.
Una volta completata la transazione, l’utente può recuperare la propria garanzia tramite un sistema di smart contract. Tuttavia, a causa di una falla, l’aggressore è stato in grado di ripetere questa operazione di prelievo per diverse centinaia di volte, senza mai depositare ulteriori garanzie.
Il contratto di blocco non ha verificato l’invio di fondi dal contratto di conio. L’attaccante ha quindi aperto una posizione con 10 dollari di garanzia e ha inviato 10.000 dollari direttamente al contratto di blocco. In questo modo, poteva riprodurre in loop il collaterale di altre persone dal contratto. “
La società di sicurezza blockchain BlockSec ha confermato le affermazioni di FatMan via Twitter, indicando che le transazioni erano visibili dal block explorer di Terra Classic e confermando allo stesso tempo che il protocollo è stato effettivamente sfruttato.
Secondo i dati della catena, l’aggressore ha rubato un totale di quasi 90 milioni di dollari. Si tratta di una somma di denaro piuttosto ingente, che a quanto pare è stata scoperta solo ora.
Tuttavia, il 17 maggio gli utenti del Mirror Protocol hanno notato che era stata applicata una patch proprio per evitare la duplicazione di questi ordini, il che aveva dato adito a speculazioni sul fatto che il protocollo avesse nascosto l’attacco.
Ora che i fatti sono stati accertati e confermati, resta da vedere se il team dietro Mirror ne fosse consapevole o meno.
