В октябре прошлого года злоумышленнику удалось воспользоваться изъяном в коде Mirror Protocol и украсть с платформы 90 миллионов долларов. Только вот обнаружил его обычный пользователь, а команда разработчиков, возможно, знала об этом.
У зеркала (MIR) украли 90 миллионов долларов
Похоже, что даже самые крупные суммы иногда могут ускользнуть от внимания разработчиков. Действительно, мы только что узнали, что Mirror (MIR), децентрализованный финансовый протокол (DeFi), построенный на блокчейне Terra Classic (LUNC), в октябре 2021 года похитил 90 миллионов долларов.
Протокол Mirror позволяет своим пользователям сокращать или увеличивать длину взаимозаменяемых активов на основе их реальной стоимости. Другими словами, он позволяет пользователям торговать эквивалентами акций, таких как Apple, Amazon или Google, через оракул, который отслеживает их реальную цену.
Откровение исходит от пользователя Twitter «@FatManTerra», известного своим активным участием в исследовательском форуме Terra, особенно после объявления форка блокчейна. По его словам, злоумышленнику удалось украсть крупные суммы денег из гораздо меньших сумм.
Что если я скажу вам, что до 18 дней назад Mirror Protocol был подвержен одному из самых прибыльных эксплойтов всех времен, позволяющему злоумышленнику получить $4,3 млн с $10 тыс. за одну транзакцию? Вот как я это обнаружил — чисто случайно.
— FatMan (@FatManTerra) Май 27, 2022
» Что если я скажу вам, что до 18 дней назад Mirror Protocol был подвержен одному из самых прибыльных эксплойтов всех времен, позволяющему злоумышленнику получить $4,3 млн. из $10 000 за одну транзакцию? Вот как я узнал об этом — чисто случайно. «
Что случилось?
В общих чертах, зеркальный протокол позволяет вам делать короткие ставки на активы, внося другой актив в качестве залога на 2 недели. Таким образом, для инвестирования необходимо заблокировать UST, LUNA Classic (LUNC) или другие криптовалюты.
После завершения сделки пользователь может получить свой залог через систему смарт-контрактов. Однако, благодаря дефекту, злоумышленник смог повторить эту операцию по снятию средств несколько сотен раз, ни разу не внося дополнительного залога.
Контракт на замок не подтвердил, что средства были отправлены из контракта на чеканку. Поэтому злоумышленник открыл позицию с обеспечением в 10 долларов и отправил 10 000 долларов непосредственно на локирующий контракт. Затем он мог снова и снова зацикливать чужое обеспечение из контракта. «
Компания BlockSec, занимающаяся безопасностью блокчейна, подтвердила заявления FatMan через Twitter, указав, что транзакции были видны из блокчейн-проводника Terra Classic, и в то же время подтвердив, что протокол действительно эксплуатировался.
Согласно данным о цепочке, злоумышленник похитил в общей сложности почти 90 миллионов долларов. Это довольно крупная сумма денег, которая, по всей видимости, была обнаружена только сейчас.
Однако 17 мая пользователи Mirror Protocol отметили, что исправление было применено именно для того, чтобы избежать дублирования этих приказов, что дало повод для предположений о том, что протокол скрыл атаку.
Теперь, когда факты установлены и подтверждены, остается выяснить, знала ли об этом команда, стоявшая за Mirror, или нет.
