באוקטובר 2021, אפליקציית DeFi Mirror Protocol נכנעה לניצול של 90 מיליון דולר על הבלוקצ'יין הישן של Terra - וזה נעלם לחלוטין עד השבוע שעבר.
פרוטוקול המראה אפשר למשתמשים לקחת פוזיציות ארוכות או שורטות במניות טכנולוגיה באמצעות נכסים סינתטיים. הוא נבנה על טרה, שקרסה מוקדם יותר החודש לאחר שה-Stablecoin העיקרי שלו איבד את ההצמדה שלו לדולר האמריקאי, וגרר איתו את האסימון אחותו לונה למטה. (הבלוקצ'יין קם כעת לתחייה כ-Terra 2.0, בעוד שהרשת המקורית חיה בתור Terra Classic).
הניצול היה גילה על ידי חבר ואנליסט בקהילה של Terra בשם "FatMan". הוא היה אחד האנטגוניסטים הקולניים ביותר בהשקה האחרונה של הבלוקצ'יין החדש של Terra.
חברת האבטחה BlockSec מאושש הממצאים של חבר הקהילה על ידי ניתוח עסקת הניצול הספציפית. BlockSec אישרה שניצול אכן התרחש.
איך קרה הניצול?
בכל פעם שמישהו רצה להמר נגד מניה במירור, הוא היה חייב נעילת בטחונות - כולל UST, LUNA Classic (LUNC) ו-mAssets - למשך 14 ימים לפחות.
לאחר סיום העסקה, המשתמשים יכלו לפתוח את הביטחונות כדי לשחרר את הכספים בחזרה לארנק. כל זה נעשה בעזרת מספרי זהות חכמים שנוצרו על ידי חוזים.
עם זאת, בגלל קוד באגי, חוזה המנעול של מירור נכשל לכאורה כשמישהו השתמש באותו תעודה מזהה יותר מפעם אחת כדי למשוך כספים.
באוקטובר 2021, ישות לא ידועה אחת הבחינה שהם יכולים להשתמש ברשימה של זיהויים כפולים כדי לפתוח שוב ושוב בטחונות של מאות מונים ממה שהיו להם. זה בעצם אומר שהעבריין יכול למשוך כספים ללא כל אישור.
ישות זו גרפה כ-90 מיליון דולר בסך הכל, לפי רשומות בלוקצ'יין.
בלי לשים לב במשך שבעה חודשים
ניצול מירור עשוי להיות אחד האירועים הנדירים שבהם, למרות נוכחותם של נתונים על השרשרת, פריצה גדולה נותרה בלתי נחשפת במשך זמן רב. בדרך כלל, פרויקטים ממהרים לדווח על אירועי אבטחה למען השקיפות.
BlockSec אמר כי הניצול כנראה נעלם מעיניו מכיוון שפחות אנשים סרקו בעיות ב-Terra בהשוואה לרשתות תואמות Ethereum ו-Ethereum.
כמו כן, באתר מירור לא היה ממשק שאיפשר לבדוק את סך הבטוחות בפרוטוקול. זה עשה את זה הרבה יותר קשה להבחין בפגיעות מבלי לנפות כמות גדולה של נתוני בלוקצ'יין.
מוקדם יותר החודש, מפתחי Mirror תיקנו בשקט את הפגיעות, בערך באותו זמן שה-UST stablecoin החל לקרוס. שבוע לאחר מכן לאחר התיקון, חברי הקהילה החלו לתהות אם יכול היה להיות ניצול, על פי דיון ממשל. לא ברור אם המפתחים של מירור ידעו על הניצול.
עם זאת, זו לא הפעם הראשונה שפריצה עוברת מתחת לרדאר במשך זמן קצר. כשהאקרים גנבו 600 מיליון דולר מרשת הצד של רונין במרץ 2022, חלף שבוע עד שמישהו הבין שזה קרה. רק כאשר משתמשים גילו שהם לא יכולים למשוך את הכספים שלהם, מישהו הבין שיש מחסור.
פרוטוקול מירור, שהוא נושא לחקירה של ה-SEC, טרם הגיב רשמית בנושא. הצוות ב- Mirror או Terraform Labs עדיין לא הגיב לבקשת תגובה.
לעוד סיפורים שוברים כאלה, הקפד לעקוב אחר The Block טויטר.
© 2022 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss