昨年10月、悪意のあるユーザーがMirror Protocolのコードの欠陥を利用して、プラットフォームから9000万ドルを盗み出すことに成功しました。ただ、一般ユーザーが発見しただけで、開発チームは知っていたかもしれません。
ミラー(MIR)に9000万ドル盗まれる
大金であっても、開発者の目を逃がしてしまうことがあるようです。実際、テラ・クラシック(LUNC)ブロックチェーン上に構築された分散型金融(DeFi)プロトコルであるミラー(MIR)が、2021年10月に9000万ドルを盗まれたことが判明したばかりだ。
Mirrorプロトコルは、ユーザーが実際の価値に基づいて、変幻自在の資産をショートまたはロングすることを可能にします。つまり、アップルやアマゾン、グーグルといった株式の実勢価格を監視するオラクルを介して、株式と同等の取引を行うことができるのだ。
今回の暴露は、特にブロックチェーンフォークの発表以降、Terra研究フォーラムに積極的に参加していることで知られるTwitterユーザーの「@FatManTerra」氏によるものです。彼によると、悪意のあるユーザーは、はるかに小さな金額から大金を盗むことに成功した。
ミラープロトコルは、18日前まで、攻撃者が1回の取引で10kドルから430万ドルを生成できる、史上最も有益な悪用の影響を受けやすいと言ったらどうでしょう。このことを知ったきっかけは、まったくのセレンディピティです。
– FatMan (@FatManTerra) May 27, 2022
..
」。
」ミラープロトコルは、18日前まで、攻撃者が1回の取引で1万ドルから430万ドルを生み出すことができる、史上最も有益な悪用の可能性があると言ったらどうでしょう?私がそれを知ったのは、まさにセレンディピティ(偶然)でした。
何があったの?
ミラープロトコルとは、大まかに言うと、別の資産を担保として2週間預けることで、資産をショートさせることができるものです。そのため、投資するためにはUSTやLUNA Classic(LUNC)、その他の暗号通貨をロックする必要があります。
取引が完了すると、ユーザーはスマートコントラクトシステムを通じて担保を回収することができます。しかし、欠陥により、攻撃者は追加の担保を預けることなく、この引き出し操作を数百回繰り返すことができました。
ロック契約では、鋳造契約から資金が送られたことを確認していない。そこで、攻撃者は10ドルを担保にポジションを建て、ロックコントラクトに直接1万ドルを送りました。そして、契約から他人の担保を何度もループさせることができた。”
ブロックチェーンセキュリティ企業のBlockSecは、Twitterを通じてFatManの主張を裏付け、Terra Classicのブロックエクスプローラから取引が見えることを示すと同時に、プロトコルが実際に悪用されたことを確認した。
オンチェーンデータによると、攻撃者は合計で約9000万ドルを盗み出しました。これはかなり大きな金額で、どうやら発見されたばかりらしい。
しかし、Mirror Protocolのユーザーは、5月17日に、これらの命令の重複を避けるためのパッチが適用されたことに注目し、このプロトコルが攻撃を隠していたのではないかという憶測を呼び起こした。
事実が確定した今、Mirrorの制作チームがこのことを認識していたかどうかが注目されます。
