De makers van het Mirror Protocol zouden een grote fout hebben verdoezeld…
@FatManTerra is terug met nieuwe beschuldigingen over Terra’s synthetische activa protocol Mirror. Specifiek, een exploit gerelateerd aan Mirror’s lock contract.
Sinds het Terra-fiasco eerder in mei opdook, heeft @FatManTerra het deksel geopend op de interne werking van het Terra-ecosysteem. De onthullingen schetsen een beeld van verdacht gedrag.
De laatste beschuldigingen suggereren verder dat Terra gebruikers al veel langer aan het kortste eind trekken dan eerder werd aangenomen.
Mirror Protocol in de schijnwerpers
Details gedeeld via sociale media op 26 mei beweerden dat Mirror Protocol misschien niet zo gedecentraliseerd is als het beweert
@FatManTerra tweette details van een onderzoek naar Mirror’s whale wallets, waarvan hij vermoedt dat ze actief proberen hun invloed te verbergen door MIR tokens te verspreiden over burner wallets.
“Ik heb bewijs gevonden dat deze wallet en gerelateerde wallets erg hun best doen om het te laten lijken alsof het MIR bestuur niet door een meerderheid wordt gecontroleerd door een enkele entiteit – ze doen dit door MIR op te splitsen tussen verschillende verse anonieme wallets. “
Een van deze portefeuilles is verbonden met Do Kwon, CEO van Terraform Labs, via een Decentralized Autonomous Organization (DAO), waarvan hij een adviseur is.
@FatManTerra suggereert dat dit erop kan wijzen dat hooggeplaatste personen binnen de Terra-hiërarchie het bestuur manipuleren en daar voordeel uit halen.
Nieuwe beschuldigingen
@FatManTerra tweette ook details over een exploit op het Mirror Protocol die ongeveer 18 dagen geleden werd gedicht, wat samenviel met de tijd dat UST zijn pin verloor.
Wat als ik je zou vertellen dat het Mirror Protocol, tot 18 dagen geleden, vatbaar was voor één van de meest winstgevende exploits aller tijden, die een aanvaller in staat stelde om $4.3m te genereren uit $10k in één enkele transactie? Hier is hoe ik dit ontdekte – door pure serendipiteit.
– FatMan (@FatManTerra) May 27, 2022
De bug in kwestie heeft betrekking op het Mirror lock contract. Onder normale omstandigheden vergrendelen gebruikers hun onderpand en na een aanhoudingsperiode van 14 dagen kunnen ze een ontgrendelfunctie gebruiken om het onderpand vrij te geven.
Tot de implosie van UST had de code die de ontgrendelfunctie regelde geen dubbele controle. Dat betekent dat een aanvaller herhaaldelijk fondsen kon vrijgeven na de lock-in periode van 14 dagen.
Bovendien beweerde @FatManTerra dat Mirror Protocol de bug heeft gepatcht zonder de Mirror gemeenschap te informeren dat de bug zelfs maar bestond.
Dus – deze bug bestaat en werd stilletjes gepatcht – maar we weten niet of iemand het ooit heeft opgemerkt of er ooit misbruik van heeft gemaakt. Het zou moeilijk te controleren zijn aangezien je maanden aan kettinggegevens en miljoenen transacties zou moeten doorzoeken – het Mirror forum heeft de moeite niet genomen. (5/12)
– FatMan (@FatManTerra) May 27, 2022
Verder onderzoek wijst uit dat aanvallers de bug sinds oktober 2021 honderden keren hebben misbruikt.
Twee koffie later, toen ik op het punt stond op te geven, vond ik dit. Wacht eens even… Wat is hier aan de hand? Een enkele transactie van oktober 2021 ontgrendelt een positie keer op keer – en het daadwerkelijk uitgevoerd. Hier is de transactie: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
De verdenking werd verder gewekt toen een van de betrokken portemonnees een UST dump timede vlak voor de opschorting van het Terra pegging mechanisme.
Een gemeenschapsonderzoeker onder de gebruikersnaam PF92 zei dat ten minste 88 miljoen UST werd gestolen via deze kwetsbaarheid.
@FatManTerra sloot de tweetstorm af met de mededeling dat hij niet weet wie verantwoordelijk is, maar dat hij het onderzoek zal voortzetten.
And that’s how with a little bit of luck and a lot of research, I found out about one of the greatest yet most simple smart contract exploits in blockchain history that went under the radar for almost a year. Wie heeft dit gedaan? Ik heb geen idee, maar ik zal proberen het uit te zoeken. (12/12)
– FatMan (@FatManTerra) May 27, 2022