Mirror Protocol, een DeFi-applicatie gebouwd op de oude Terra-blockchain, werd in oktober 90 aangevallen door een exploit van $2021 miljoen, en bleef tot vorige week volledig onontdekt. De aanvaller kon meerdere keren onderpand uit het protocol ontgrendelen, terwijl hij elke keer slechts een kleine vergoeding betaalde.
Terra's DeFi werd zeven maanden geleden aangevallen
Een dure Terra DeFi-exploit bleef tot vorige week zeven maanden lang onopgemerkt. Mirror Protocol, gebouwd op de Terra-blockchain, stelde gebruikers in staat synthetische activa te gebruiken om long- of shortposities in technologieaandelen in te nemen.
Het werkingsmechanisme van het protocol werd echter voor 90 miljoen dollar gehackt. De Terra-keten DeFi-aanval werd vorige week voor het eerst ontdekt door een lid van de Terra-gemeenschap en analist genaamd “FatMan”, en is nu bevestigd door beveiligingsanalisten BlockSec.
Leden van de gemeenschap ongedekt een zwakte in de code van het Mirror Protocol op 17 mei, waardoor een hacker vanaf 90 oktober 8 tot $ 2021 miljoen kan onttrekken.
Volgens FatMan, wie? zegt hij ontdekte de hack door "pure serendipiteit", de aanvaller stal $ 89,706,164.03 uit het protocol dankzij een exploit waarmee ze onderpand van het slotcontract "steeds opnieuw konden ontgrendelen tegen lage kosten en zonder risico".
De Terra Classic on-chain-statistieken onthuld dat de aanvaller binnen dezelfde transactie vele malen UST-geld uit het protocol kon vrijmaken voor slechts $ 17.54 per keer.
Door de precieze exploitatietransactie te bestuderen, heeft beveiligingsbedrijf BlockSec bevestigd de bevindingen van het gemeenschapslid.
Hoe het gebeurde
Gebruikers moeten het onderpand minimaal veertien dagen vergrendelen om tegen een aandeel op Mirror te kunnen wedden. De originele digitale munt Terra, LUNA, was bij dit onderpand inbegrepen (nu LUNA Classic of LUNC). mAssets en de inmiddels ter ziele gegane stablecoin UST waren ook betrokken.
Gebruikers konden het onderpand ontgrendelen en het geld terugstorten in hun portemonnee zodra de transactie was voltooid.
Bovendien heeft het gebruik van door slimme contracten gegenereerde ID-nummers deze procedure ondersteund. Het slotcontract van Mirror Protocol kon vanwege de aanwezigheid van een bug echter niet controleren of een gebruiker eerder hetzelfde ID had gebruikt om geld op te nemen.
Gerelateerde literatuur | Thailand bereidt zich voor op digitale economie, verwijdert crypto-overdrachten van btw tot eind 2023
Het slotcontract van de Mirror kon echter blijkbaar niet controleren wanneer iemand dezelfde ID vele malen gebruikte om geld op te nemen vanwege een fout in de code.
In oktober 2021 ontdekte een onbekende entiteit dat een lijst met dubbele ID's kon worden gebruikt om herhaaldelijk honderden keren meer onderpand te ontgrendelen dan ze hadden. Dit betekende in wezen dat de crimineel zonder toestemming geld kon opnemen.
Een nieuwe aanval
Op 30 mei, slechts enkele dagen na de ontdekking, werd het DeFi-protocol opnieuw het doelwit.
Think rapporten, De nieuwste hack werd ingegeven door een fout in de prijsorakels van het bedrijf, waardoor de aanvaller kon profiteren van een prijsverschil tussen de oude LUNC en de nieuwe LUNA-tokens.
De Terra-nodes draaiden verouderde orakelsoftware, waardoor de aanval kon plaatsvinden. Volgens het lid van de Chainlink-community dat de aanval ontdekte, heeft de hacker ruim twee miljoen dollar uit het protocol gestolen.
Terra/USD consolideert na een crash van bijna nul. Bron: TradingView
Dit is niet de eerste keer dat een hack korte tijd onopgemerkt blijft. In maart 2022, Hackers hebben $600 miljoen gestolen van de Ronin-zijketen, en het duurde een week voordat iemand het merkte. Het was pas toen gebruikers ontdekt ze konden hun geld niet opnemen omdat iemand besefte dat er een probleem was.
Spiegelprotocol, dat is wordt onderzocht door de Securities and Exchange Commission, moet nog een officiële verklaring over de situatie afleggen.
Het Mirror Protocol-team heeft nog geen verklaring afgegeven over de exploit, wat tot verontwaardiging bij de gemeenschap heeft geleid. FatMan daarentegen gelooft dat er “overtuigend bewijs” is dat de hacker een insider was.
Hoewel dit niet de eerste DeFi-exploit in de geschiedenis is, heeft het wel het langst geduurd voordat deze werd ontdekt. Terra wordt nauwlettend in de gaten gehouden terwijl de druk zich opstapelt.
Gerelateerde literatuur | Not So Great Wall: hoe China jammerlijk faalde in het verbieden van Bitcoin-mijnbouw
Uitgelichte afbeelding van Shutterstock en grafiek van TradingView.com
Bron: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/