Deweloperzy Mirror Protocol rzekomo zatuszowali poważny exploit, który doprowadził do kradzieży dziesiątek milionów dolarów
FatManTerra powraca z nowymi zarzutami dotyczącymi protokołu Mirror, używanego przez Terrę do zarządzania aktywami syntetycznymi. Chodzi konkretnie o exploit związany z kontraktem na blokadę Mirrora.
Odkąd w maju wybuchło fiasko z Terrą, @FatManTerra zdradza tajniki działania ekosystemu Terra. Z tych rewelacji wyłania się obraz podejrzanych działań.
Najnowsze zarzuty sugerują, że użytkownicy Terry byli na straconej pozycji znacznie dłużej, niż wcześniej przypuszczano.
Protokół Mirror w centrum uwagi
Detale udostępnione przez media społecznościowe 26 maja sugerowały, że Mirror Protocol może nie być tak zdecentralizowany, jak twierdzi
@FatManTerra zamieścił na Twitterze szczegóły śledztwa w sprawie portfeli Mirror’s Whale, które, jak podejrzewa, aktywnie próbują ukryć swój wpływ poprzez rozprowadzanie tokenów MIR po portfelach palnika.
„Znalazłem dowody na to, że ten portfel i powiązane z nim portfele bardzo się starają, aby wyglądało na to, że zarządzanie MIR nie jest kontrolowane w większości przez jeden podmiot – robią to poprzez rozdzielenie MIR pomiędzy kilka świeżych anonimowych portfeli. „
Jeden z tych portfeli jest powiązany z dyrektorem generalnym Terraform Labs, Do Kwonem, poprzez Zdecentralizowaną Organizację Autonomiczną (DAO), w której jest on doradcą.
Wiążąc to wszystko razem, @FatManTerra sugeruje, że może to wskazywać na starsze osoby w hierarchii firmy Terra, które manipulują zarządzaniem i czerpią z tego zyski.
Nowe zarzuty
@FatManTerra opublikowała również szczegóły dotyczące exploita w protokole Mirror, który został załatany około 18 dni temu, co zbiegło się w czasie z utratą kołka przez UST.
Co by się stało, gdybym powiedział wam, że Mirror Protocol jeszcze 18 dni temu był podatny na jeden z najbardziej dochodowych exploitów wszechczasów, pozwalający atakującemu wygenerować 4,3 mln dolarów z 10 tys. dolarów w pojedynczej transakcji? Oto jak to odkryłem – przez zupełny przypadek.
– FatMan (@FatManTerra) May 27, 2022
Błąd, o którym mowa, dotyczy kontraktu blokady lustrzanej. W normalnych okolicznościach użytkownicy blokują swoje zabezpieczenie, a po 14-dniowym okresie przetrzymania mogą użyć funkcji odblokowującej, aby zwolnić zabezpieczenie.
Do czasu implozji UST kod, który zarządzał funkcją odblokowywania, nie posiadał funkcji sprawdzania duplikatów. Oznacza to, że osoba atakująca mogła wielokrotnie uwolnić środki po upływie 14-dniowego okresu blokady.
Co więcej, @FatManTerra twierdził, że Mirror Protocol załatał ten błąd, nie informując społeczności Mirror o jego istnieniu.
Więc – ten błąd istnieje i został po cichu załatany – ale nie wiemy, czy ktokolwiek kiedykolwiek go zauważył lub wykorzystał. Byłoby to trudne do sprawdzenia, ponieważ trzeba by przekopać się przez miesiące danych o łańcuchach i milionach transakcji – forum Mirror nie zawracało sobie tym głowy. (5/12)
– FatMan (@FatManTerra) May 27, 2022
Dalsze badania pokazują, że atakujący wykorzystywali błąd setki razy od października 2021 roku
Dwie kawy później, kiedy już miałem się poddać, znalazłem to. Chwila… Co tu się dzieje? Pojedyncza transakcja z października 2021 r. odblokowująca jedną pozycję w kółko – i faktycznie została wykonana. Oto ta transakcja: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
Podejrzenia nasiliły się, gdy jeden z zaangażowanych portfeli dokonał zrzutu UST tuż przed zawieszeniem mechanizmu kołkowania Terra.
Społeczny detektyw o pseudonimie PF92 twierdzi, że za pośrednictwem tej luki skradziono co najmniej 88 milionów UST.
@FatManTerra zakończył burzę tweetów, mówiąc, że nie wie, kto jest za to odpowiedzialny, ale będzie kontynuował dochodzenie.
I w ten oto sposób, przy odrobinie szczęścia i dużej ilości poszukiwań, dowiedziałem się o jednym z największych, a zarazem najprostszych exploitów smart contract w historii blockchain, który pozostawał pod radarem przez prawie rok. Kto to zrobił? Nie mam pojęcia, ale postaram się tego dowiedzieć. (12/12)
– FatMan (@FatManTerra) May 27, 2022
