W październiku ubiegłego roku złośliwy użytkownik wykorzystał lukę w kodzie Mirror Protocol i ukradł z platformy 90 milionów dolarów. Tyle tylko, że zostało ono odkryte przez zwykłego użytkownika, a zespół programistów mógł o nim wiedzieć.
Mirror (MIR) skradziono 90 milionów dolarów
Wygląda na to, że nawet największe sumy mogą czasem umknąć uwadze deweloperów. Właśnie dowiedzieliśmy się, że Mirror (MIR), zdecentralizowany protokół finansowy (DeFi) zbudowany na blockchainie Terra Classic (LUNC), został skradziony w październiku 2021 r. za 90 mln dolarów.
Protokół Mirror pozwala użytkownikom na krótką lub długą sprzedaż aktywów zamiennych w oparciu o ich rzeczywistą wartość. Innymi słowy, pozwala użytkownikom handlować odpowiednikami akcji takich jak Apple, Amazon czy Google za pośrednictwem wyroczni, która monitoruje ich rzeczywistą cenę.
Informacje te pochodzą od użytkownika Twittera „@FatManTerra”, znanego z aktywnego uczestnictwa w forum badawczym Terra, zwłaszcza od czasu ogłoszenia blockchain fork. Według niego, złośliwy użytkownik zdołał ukraść duże sumy pieniędzy z dużo mniejszych kwot.
Co by było, gdybym Ci powiedział, że Mirror Protocol jeszcze 18 dni temu był podatny na jeden z najbardziej dochodowych exploitów wszechczasów, pozwalający atakującemu wygenerować 4,3 mln dolarów z 10 tys. dolarów w pojedynczej transakcji? Oto jak to odkryłem – przez zupełny przypadek.
– FatMan (@FatManTerra) May 27, 2022
” A gdybym Ci powiedział, że Mirror Protocol, jeszcze 18 dni temu, był podatny na jeden z najbardziej dochodowych exploitów wszechczasów, pozwalający atakującemu wygenerować 4,3 miliona dolarów z 10 000 dolarów w pojedynczej transakcji? Oto jak się o tym dowiedziałem – przez przypadek. „
Co się stało?
Ogólnie rzecz biorąc, protokół lustrzany umożliwia zawieranie transakcji krótkich na aktywach poprzez zdeponowanie innego aktywu jako zabezpieczenia na okres 2 tygodni. W celu inwestowania konieczne jest więc zablokowanie UST, LUNA Classic (LUNC) lub innych kryptowalut.
Po zakończeniu transakcji użytkownik może odzyskać swoje zabezpieczenie za pośrednictwem systemu inteligentnych kontraktów. Jednak z powodu błędu, atakujący był w stanie powtórzyć tę operację wypłaty kilkaset razy, bez wpłacania dodatkowego zabezpieczenia.
Umowa blokady nie weryfikowała, czy środki zostały przesłane z umowy menniczej. Atakujący otworzył więc pozycję z zabezpieczeniem w wysokości 10 USD i wysłał 10 000 USD bezpośrednio do kontraktu lock. Mógł wtedy zapętlać zabezpieczenia innych osób na podstawie umowy. „
Firma BlockSec, zajmująca się bezpieczeństwem blockchain, potwierdziła twierdzenia FatMana za pośrednictwem Twittera, wskazując, że transakcje były widoczne w eksploratorze bloków Terra Classic, a jednocześnie potwierdzając, że protokół rzeczywiście został wykorzystany.
Według danych on-chain, nasz napastnik ukradł w sumie prawie 90 milionów dolarów. Jest to dość duża suma pieniędzy, która najwyraźniej dopiero teraz została odkryta.
Jednak użytkownicy protokołu Mirror Protocol zauważyli 17 maja, że zastosowano poprawkę właśnie po to, by uniknąć powielania tych poleceń, co dało początek spekulacjom, że protokół ukrył atak.
Teraz, gdy fakty zostały ustalone i potwierdzone, okaże się, czy zespół stojący za Mirror był tego świadomy, czy też nie.
