Mirror Protocol的开发者据称掩盖了一个重大漏洞,导致数千万美元的资金被抽走。
@FatManTerra又对Terra的合成资产协议Mirror提出了新的指控。具体来说,就是与Mirror的锁定合同有关的一个漏洞。
自从五月初Terra惨败后,@FatManTerra一直在揭开Terra生态系统内部运作的盖子。这些披露描绘了一幅可疑的画面。
最新的指控进一步表明,Terra的用户在交易中受到伤害的时间比之前假设的要长很多。
Mirror Protocol under the spotlight
5月26日通过社交媒体分享的细节称,《镜像协议》可能并不像它声称的那样是去中心化的。
@FatManTerra在推特上发布了对Mirror的鲸鱼钱包进行调查的细节,他怀疑这些钱包正积极地试图通过将MIR代币分散到燃烧器钱包中来掩盖其影响力。
“我发现有证据表明,这个钱包和相关的钱包非常努力地使MIR治理看起来不是由一个单一实体控制的大多数 – 他们通过在几个新鲜的匿名钱包之间分割MIR来做到这一点。”
其中一个钱包通过一个去中心化自治组织(DAO)与Terraform Labs的CEO Do Kwon联系在一起,他是该组织的顾问。
将所有这些联系在一起,@FatManTerra认为这可能表明Terra等级制度中的高级人物在操纵管理,并因此而获利。
新的指控
@FatManTerra还在推特上公布了一个关于镜像协议的漏洞的细节,该漏洞大约在18天前被堵住了,这与UST失去其钉子的时间相吻合。
#
#
如果我告诉你,直到18天前,镜像协议还容易受到有史以来最有利可图的漏洞之一的影响,允许攻击者在一次交易中从1万美元产生430万美元,你会怎么想?以下是我如何发现的–纯粹是偶然的。
– FatMan (@FatManTerra) May 27, 2022
问题中的错误与镜像锁定合同有关。在正常情况下,用户锁定他们的抵押品,在14天的持有期后,他们可以使用解锁功能来释放抵押品。
在UST内爆之前,管理解锁功能的代码没有一个重复检查。这意味着攻击者可以在14天的锁定期后重复释放资金。
更重要的是,@FatManTerra称,Mirror协议在没有通知Mirror社区的情况下修补了这个错误。
所以–这个bug存在并且被悄悄地打上了补丁–但是我们不知道之前是否有人注意到它或者利用它。这将是很难检查的,因为你需要筛选几个月的链式数据和数百万的交易 – 镜像论坛没有打扰。(5/12)
– FatMan (@FatManTerra) May 27, 2022
进一步调查显示,自2021年10月以来,攻击者已利用该漏洞数百次。
两杯咖啡之后,当我准备放弃的时候,我发现了这个。等一下… 这到底是怎么回事?2021年10月的一笔交易,一次又一次地解锁一个头寸–而且它真的执行了。这是交易的内容。https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) May 27, 2022
当其中一个相关的钱包在特拉挂钩机制暂停之前定时抛出UST时,进一步引发了怀疑。
一个用户名为PF92的社区调查员说,至少有8800万UST通过这个漏洞被盗。
@FatManTerra在推特风暴上签字,说他不知道谁该负责,但会继续调查。
就这样,凭借一点点运气和大量的研究,我发现了区块链历史上最伟大但又最简单的智能合约漏洞之一,这个漏洞被掩盖了近一年。这是谁干的?我不知道,但我会试着找出答案。(12/12)
– FatMan (@FatManTerra) May 27, 2022