In oktober 2021 bezweek de DeFi-toepassing Mirror Protocol voor een exploit van $ 90 miljoen op de oude Terra-blockchain - en het bleef tot vorige week volledig onopgemerkt.
Dankzij het spiegelprotocol konden gebruikers long- of shortposities innemen in technische aandelen met behulp van synthetische activa. Het werd gebouwd op Terra, dat eerder deze maand instortte nadat zijn belangrijkste stablecoin zijn koppeling aan de Amerikaanse dollar verloor en zijn zustertoken Luna meesleurde. (De blockchain is nu nieuw leven ingeblazen als Terra 2.0, terwijl de oorspronkelijke keten voortleeft als Terra Classic).
De exploit was ontdekt door een lid van de Terra-gemeenschap en analist genaamd ‘FatMan’. Hij was een van de meest uitgesproken tegenstanders bij de recente lancering van de nieuwe Terra-blockchain.
Beveiligingsbedrijf BlockSec bevestigd de bevindingen van het communitylid door de specifieke exploittransactie te analyseren. BlockSec bevestigde dat er inderdaad een exploit heeft plaatsgevonden.
Hoe is de uitbuiting gebeurd?
Wanneer iemand tegen een aandeel op Mirror wilde wedden, moesten ze: onderpand vergrendelen — inclusief UST, LUNA Classic (LUNC) en mAssets — voor minimaal 14 dagen.
Nadat de transactie was afgerond, konden gebruikers het onderpand ontgrendelen om het geld terug in de portemonnee vrij te geven. Dit alles werd gedaan met behulp van door slimme contracten gegenereerde ID-nummers.
Vanwege de foutcode kon het slotcontract van de Mirror echter niet controleren wanneer iemand dezelfde ID meer dan eens gebruikte om geld op te nemen.
In oktober 2021 merkte een onbekende entiteit op dat ze een lijst met dubbele ID's konden gebruiken om herhaaldelijk honderden keren meer onderpand te ontgrendelen dan ze hadden. Dit betekende in feite dat de dader geld kon opnemen zonder enige toestemming.
Deze entiteit heeft in totaal ongeveer $ 90 miljoen opgebruikt, volgens blockchain-records.
Zeven maanden onopgemerkt blijven
De Mirror-exploit is mogelijk een van de zeldzame gebeurtenissen waarbij, ondanks de aanwezigheid van on-chain-gegevens, een grote hack lange tijd niet werd onthuld. Meestal melden projecten snel beveiligingsgebeurtenissen omwille van de transparantie.
BlockSec zei dat de exploit waarschijnlijk onopgemerkt bleef omdat er minder mensen scanden op problemen op Terra in vergelijking met Ethereum en Ethereum-compatibele ketens.
Daarnaast was er op de Mirror-website geen interface die het mogelijk maakte om de totale hoeveelheid onderpand in het protocol te controleren. Dit maakte het veel moeilijker om de kwetsbaarheid op te merken zonder een grote hoeveelheid blockchain-gegevens te doorzoeken.
Eerder deze maand hebben Mirror-ontwikkelaars de kwetsbaarheid stilletjes opgelost, rond dezelfde tijd dat de UST stablecoin begon in te storten. Een week later, na de patch, begonnen communityleden zich af te vragen of er sprake kon zijn van een exploit, zo blijkt uit een bestuursdiscussie. Het is onduidelijk of de ontwikkelaars van Mirror op de hoogte waren van de exploit.
Dit is echter niet de eerste keer dat een hack korte tijd onder de radar blijft. Toen hackers in maart 600 $ 2022 miljoen stalen van de Ronin-zijketen, ging er een week voorbij voordat iemand zich realiseerde dat het was gebeurd. Pas toen gebruikers ontdekten dat ze hun geld niet konden opnemen, realiseerde iemand zich dat er een tekort was.
Mirror Protocol, dat het onderwerp is van een SEC-onderzoek, heeft nog geen officieel commentaar op de kwestie gegeven. Het team van Mirror of Terraform Labs heeft nog niet gereageerd op een verzoek om commentaar.
Volg voor meer van dit soort spannende verhalen The Block op Twitter.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss