Um utilizador malicioso conseguiu tirar partido de uma falha no código do Protocolo Mirror em Outubro passado para roubar 90 milhões de dólares da plataforma. Apenas foi descoberto por um utilizador comum, e a equipa de desenvolvimento pode ter tido conhecimento disso.
Mirror (MIR) teve $90 milhões roubados
Parece que mesmo as maiores somas podem por vezes escapar à atenção dos criadores. De facto, acabamos de saber que o Mirror (MIR), um protocolo de financiamento descentralizado (DeFi) construído sobre a cadeia de bloqueio Terra Classic (LUNC), teve $90 milhões de dólares roubados em Outubro de 2021.
O protocolo Mirror permite que os seus utilizadores tenham activos fungíveis curtos ou longos com base no seu valor real. Por outras palavras, permite aos utilizadores negociar em equivalentes de stock como a Apple, Amazon, ou Google através de um oráculo que monitoriza o seu preço real.
A revelação vem do utilizador do Twitter “@FatManTerra”, conhecido pela sua participação activa no fórum de investigação do Terra, especialmente desde o anúncio do garfo da cadeia de bloqueios. Segundo ele, o utilizador malicioso conseguiu roubar grandes somas de dinheiro de quantias muito menores.
E se eu vos dissesse que o Mirror Protocol, até há 18 dias atrás, era susceptível a uma das explorações mais rentáveis de todos os tempos, permitindo a um atacante gerar $4,3 milhões a partir de $10k numa única transacção? Eis como descobri isto – por pura serendipidade.
– FatMan (@FatManTerra) Maio 27, 2022
” E se eu vos dissesse que o Protocolo Mirror, até há 18 dias atrás, era susceptível a uma das explorações mais rentáveis de todos os tempos, permitindo a um atacante gerar $4,3 milhões a partir de $10.000 numa única transacção? Eis como descobri – por pura serendipidade: “
O que aconteceu?
Em termos gerais, o Protocolo Mirror permite que se faça um curto-circuito nos activos, depositando outro activo como garantia durante 2 semanas. Assim, é necessário bloquear UST, LUNA Classic (LUNC) ou outras moedas criptográficas a fim de investir.
Uma vez concluída a transacção, o utilizador pode recuperar a sua garantia através de um sistema de contrato inteligente. No entanto, devido a uma falha, o atacante foi capaz de repetir esta operação de retirada várias centenas de vezes, sem nunca depositar garantias adicionais.
O contrato de eclusa não verificou se os fundos foram enviados a partir do contrato de cunhagem. Assim, o atacante abriu uma posição com $10 de garantia e enviou $10.000 directamente para o contrato de eclusa. Ele poderia então laçar as garantias de outras pessoas repetidamente a partir do contrato. “
A empresa de segurança BlockSec corroborou as alegações do FatMan via Twitter, indicando que as transacções eram visíveis do explorador de blocos da Terra Classic, e ao mesmo tempo confirmando que o protocolo foi de facto explorado.
De acordo com os dados da cadeia, o nosso atacante roubou um total de quase 90 milhões de dólares. Trata-se de uma soma de dinheiro bastante grande, que aparentemente só agora foi descoberta.
No entanto, os utilizadores do Protocolo Espelho observaram a 17 de Maio que tinha sido aplicado um remendo precisamente para evitar a duplicação destas ordens, o que tinha dado origem a especulações de que o protocolo tinha ocultado o ataque.
Agora que os factos foram estabelecidos e confirmados, resta saber se a equipa por detrás do Mirror estava ou não ciente disto.
