Mirror Protocol devs alegadamente encobriu uma grande exploração que levou ao sifão de dezenas de milhões de dólares.
@FatManTerra está de volta com novas alegações sobre o protocolo de bens sintéticos Mirror do Terra. Especificamente, uma exploração relacionada com o contrato de fechadura do Mirror.
Desde que o fiasco do Terra explodiu no início de Maio, @FatManTerra tem vindo a levantar a tampa sobre o funcionamento interno do ecossistema Terra. As revelações pintam um quadro de acontecimentos suspeitos.
As últimas alegações sugerem ainda que os utilizadores da Terra têm estado no fim do negócio em bruto há muito mais tempo do que anteriormente presumido.
Protocolo de espelhos sob os holofotes
Detalhes partilhados através das redes sociais em 26 de Maio alegaram que o Protocolo Mirror pode não ser tão descentralizado como afirma
@FatManTerra tweeted detalhes de uma investigação sobre as carteiras de baleias Mirror, que ele suspeita estarem a tentar activamente esconder a sua influência, espalhando fichas MIR pelas carteiras dos queimadores.
“Encontrei provas de que esta carteira e carteiras relacionadas se esforçam por fazer parecer que a governação do MIR não é controlada maioritariamente por uma única entidade – fazem-no através da divisão do MIR entre várias carteiras anónimas frescas”.
Uma destas carteiras está ligada ao CEO da Terraform Labs Do Kwon através de uma Organização Autónoma Descentralizada (DAO), na qual é conselheiro.
Juntando tudo isto, @FatManTerra sugere que isto pode apontar para figuras superiores dentro da hierarquia Terra manipulando a governação e lucrando como resultado.
Reivindicações de hambúrgueres
@FatManTerra também tweeted detalhes de uma exploração no Protocolo Mirror que foi ligado há cerca de 18 dias, que coincidiu com o tempo em que a UST perdeu a sua peg.
E se eu vos dissesse que o Mirror Protocol, até há 18 dias atrás, era susceptível a uma das explorações mais rentáveis de todos os tempos, permitindo a um atacante gerar $4,3 milhões a partir de $10k numa única transacção? Eis como descobri isto – por pura serendipidade.
– FatMan (@FatManTerra) Maio 27, 2022
O bug em questão está relacionado com o contrato Mirror lock. Em circunstâncias normais, os utilizadores bloqueiam as suas garantias, e após um período de detenção de 14 dias, podem utilizar uma função de desbloqueio para libertar as garantias.
Até à implosão do UST, o código que regia a função de desbloqueio não tinha uma verificação em duplicado. O que significa que um atacante poderia libertar fundos repetidamente após o período de bloqueio de 14 dias.
Além disso, @FatManTerra alegou que o Protocolo Mirror corrigia o bug sem informar a comunidade Mirror de que ele existia.
So – este bug existe e foi discretamente remendado – mas não sabemos se alguém alguma vez o reparou ou explorou antes. Seria difícil de verificar uma vez que precisaria de peneirar meses de dados em cadeia e milhões de transacções – o fórum Mirror não se deu ao trabalho. (5/12)
– FatMan (@FatManTerra) Maio 27, 2022
Outras investigações mostram que os atacantes têm explorado o bug centenas de vezes desde Outubro de 2021.
Dois cafés mais tarde, quando estava prestes a desistir, encontrei isto. Espera aí… O que se passa aqui? Uma única transacção a partir de Outubro de 2021, desbloqueando uma posição vezes sem conta – e foi de facto executada. Aqui está a transacção: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) 27 de Maio de 2022
Suspiciões foram ainda mais disparadas quando uma das carteiras envolvidas cronometrou uma lixeira UST imediatamente antes da suspensão do mecanismo de fixação da Terra.
Um investigador comunitário com o nome de utilizador PF92 disse que pelo menos 88 milhões de UST foram roubados devido a esta vulnerabilidade.
@FatManTerra assinou a tweetstorm dizendo que não sabe quem é o responsável mas que continuará a investigar.
E foi assim que, com um pouco de sorte e muita pesquisa, descobri uma das maiores e mais simples explorações inteligentes de contratos na história da cadeia de bloqueio, que passou quase um ano sem ser detectada. Quem fez isto? Não faço ideia, mas vou tentar descobrir. (12/12)
– FatMan (@FatManTerra) Maio 27, 2022