Protokół Mirror zbudowany na Terra kilka miesięcy temu padł ofiarą hacku, w wyniku którego napastnikom udało się zgarnąć łup warty ponad 90 milionów dolarów. Został on odkryty przez analityka FatMan i potwierdzony przez firmę BlockSec zajmującą się bezpieczeństwem cybernetycznym.
As pointed out by many followers (thanks very much), the attack transaction can be viewed on the ‘classic’ chain(https://t.co/9nmweKv1hC).
— BlockSec (@BlockSecTeam) May 29, 2022
We have made a clarification here:https://t.co/Sqj5jet6Ij
Aby otworzyć krótką pozycję na akcjach syntetycznych w protokole Mirror, należy zablokować na co najmniej 14 dni zabezpieczenie (UST, LUNA Classic i mAssets). Po zakończeniu transakcji tokeny można wycofać z powrotem do portfela.
Do identyfikacji właściciela aktywów wykorzystano identyfikator wygenerowany przez smart kontrakt. Z powodu tej luki protokół nie blokował wielokrotnych wypłat dokonywanych przez tego samego użytkownika. W październiku 2021 r. został on odkryty przez nieznaną osobę, która wyrządziła szkody na łączną kwotę 90 mln dolarów – sumę kilkaset razy większą niż kwota zablokowanych zabezpieczeń.
BlockSec wyjaśnił, że sprawa wyszła na jaw dopiero teraz, ponieważ na stronie internetowej Mirror nie były wyświetlane dane dotyczące wysokości zabezpieczenia zdeponowanego przez użytkowników. Innym czynnikiem był brak zainteresowania społeczności analizą danych na blockchainie Terra w porównaniu z Ethereum i sieciami kompatybilnymi z EVM.
W maju, kilka dni po upadku Terra, programiści Mirror Protocol naprawili błąd. Na forum społeczności zespół pozostawił jednak bez odpowiedzi pytanie, czy komukolwiek udało się wykorzystać tę lukę.
Kolejne 2 miliony dolarów
Niedawno niezidentyfikowana osoba wycofała z Mirror kolejne 2 miliony dolarów w wyniku problemów z wyświetlaniem notowań wyroczni. Lukę odkrył członek społeczności Mirroruser, a następnie potwierdził ją FatMan.
Mirror Protocol is being exploited again as we speak, and the devs are completely MIA. So far, the attacker has drained over $2m and counting – the attack will get worse when markets open tomorrow unless the dev team steps in and fixes the price oracle. @mirror_protocol (1/4)
— FatMan (@FatManTerra) May 30, 2022
Większość walidatorów w sieci Terra Classic korzystała z przestarzałej wersji wyroczni. Dostarczali więc do systemu LUNA Classic (LUNC) kurs 5 USTC (~0,12 USD), podczas gdy rzeczywista cena wynosiła 0,0001 USD lub mniej. W rezultacie atakujący opróżnił kilka puli płynności (mBTC, mETH, mDOT i mGLXY).
Analityk ostrzegł, że haker może zrobić to samo z pulami mAsset, co doprowadzi do nagromadzenia nieściągalnych długów. Dostęp do nich zawieszono przed rozpoczęciem sesji przed notowaniami akcji. Sytuację “uratował” weekend z okazji Dnia Pamięci oraz obchody 30 maja w USA, podczas których giełda była zamknięta.
Deweloperzy posłuchali rady eksperta. Uniemożliwili oni wykorzystanie mBTC, mETH, galaxy i mDOT jako zabezpieczenia, zapobiegając w ten sposób “katastrofie”. W rezultacie atakujący stracił możliwość opróżnienia puli płynności.
Crisis averted – in the nick of time, Mirror disabled the usage of mBTC, mETH, mGLXY and mDOT as collateral. The attacker can no longer use his ill-gotten endowment to drain the rest of the pools. Great job @mirror_protocol – thank you! https://t.co/o64SVIRBmZ
— FatMan (@FatManTerra) May 31, 2022
Przypomnijmy, że w maju FatMan podejrzewał prezesa Terraform Labs, Do Kwona, oraz inwestorów venture capital o manipulowanie Mirror Protocol.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.