去年10月,一个恶意用户设法利用镜像协议代码中的一个缺陷,从该平台盗取了9000万美元。只不过,这只是一个普通用户发现的,而开发团队可能已经知道了。
Mirror(MIR)有9000万美元被盗
看来,即使是最大的一笔钱,有时也能逃脱开发商的注意。事实上,我们刚刚得知,Mirror(MIR),一个建立在Terra Classic(LUNC)区块链上的去中心化金融(DeFi)协议,在2021年10月有9000万美元被盗。
镜像协议允许其用户根据实际价值做空或做多可替换的资产。换句话说,它允许用户通过一个监测其真实价格的神谕来交易股票等价物,如苹果、亚马逊或谷歌。
这一启示来自推特用户”@FatManTerra”,他因积极参与Terra研究论坛而闻名,特别是在宣布区块链分叉后。据他说,这个恶意用户设法从小得多的金额中窃取了大笔钱财。
如果我告诉你,直到18天前,镜像协议还容易受到有史以来最有利可图的漏洞之一的影响,允许攻击者在一次交易中从1万美元产生430万美元,你会怎么想?我是这样发现的–纯粹是偶然的机会。
– 胖子(@FatManTerra) May 27, 2022
” 如果我告诉你,直到18天前,镜像协议还容易受到有史以来最有利可图的漏洞之一的影响,允许攻击者在一次交易中从1万美元产生430万美元,你会怎么想?我是这样发现的–纯属偶然。”
“。
∮
∮发生了什么? ∮
∮
从广义上讲,《镜像协议》允许你通过存入另一种资产作为抵押品来做空资产,为期2周。因此,有必要锁定UST、LUNA Classic(LUNC)或其他加密货币,以便投资。
一旦交易完成,用户可以通过智能合约系统取回他们的抵押品。然而,由于一个缺陷,攻击者能够重复这种提款操作几百次,而没有存入额外的抵押品。
锁定合同没有核实资金是从造币合同中发出的。因此,攻击者用10美元的抵押品开了一个头寸,并直接向锁定合约发送了10,000美元。然后他可以从合同中反复循环其他人的抵押品。”
区块链安全公司BlockSec通过Twitter证实了FatMan的说法,表示从Terra Classic的区块资源管理器可以看到这些交易,同时确认该协议确实被利用了。
根据链上数据,我们的攻击者总共盗取了近9000万美元的资金。这是一笔相当大的资金,显然是刚刚被发现的。
然而,镜像协议的用户在5月17日注意到,一个补丁的应用正是为了避免这些命令的重复,这引起了人们对该协议正在进行秘密攻击的猜测。
现在,事实已经确定并得到证实,《镜报》背后的团队是否知道这一点还有待观察。
