Mirror Protocol, אפליקציית DeFi שנבנתה על הבלוקצ'יין הישן של Terra, הותקפה על ידי ניצול של 90 מיליון דולר באוקטובר 2021, והיא נותרה בלתי מגלה עד לשבוע שעבר. התוקף הצליח לפתוח בטחונות מהפרוטוקול מספר פעמים תוך כדי תשלום קטן בכל פעם.
ה-DeFi של טרה הותקף לפני שבעה חודשים
ניצול יקר של Terra DeFi לא דווח במשך שבעה חודשים עד לשבוע שעבר. פרוטוקול מירור, שנבנה על בלוקצ'יין Terra, אפשר למשתמשים להשתמש בנכסים סינתטיים כדי לקחת פוזיציות ארוכות או שורט במניות טכנולוגיה.
מנגנון ההפעלה של הפרוטוקול, לעומת זאת, נפרץ תמורת 90 מיליון דולר. מתקפת רשת DeFi של Terra נמצאה לראשונה בשבוע שעבר על ידי חבר ואנליסט בקהילה של Terra בשם "FatMan", וכעת אושרה על ידי מנתחי האבטחה BlockSec.
חברי הקהילה חָשׂוּף חולשה בקוד של פרוטוקול מירור ב-17 במאי, המאפשרת להאקר לרוקן עד 90 מיליון דולר החל מה-8 באוקטובר 2021.
לפי FatMan, מי אומר הוא גילה את הפריצה ב"סרנדיפיות טהורה", התוקף גנב $89,706,164.03 מהפרוטוקול הודות לניצול שאפשר להם לפתוח בטחונות מחוזה המנעול "שוב ושוב בעלות קטנה ואפס סיכון".
הנתונים הסטטיסטיים של טרה קלאסיק על השרשרת גילה שהתוקף הצליח לשחרר כספים מ-UST מהפרוטוקול פעמים רבות בתוך אותה עסקה תמורת 17.54$ בלבד בכל פעם.
על ידי לימוד עסקת הניצול המדויקת, חברת האבטחה BlockSec מאושר הממצאים של חבר הקהילה.
איך זה קרה
משתמשים צריכים לנעול בטחונות לפחות לארבעה עשר ימים כדי להמר נגד מניה ב- Mirror. המטבע הדיגיטלי המקורי של Terra, LUNA, נכלל בבטוחה זו (כיום LUNA Classic או LUNC). mAssets וה-stablecoin UST שהוצא כעת משימוש היו מעורבים גם הם.
משתמשים יכלו לפתוח את הבטחונות ולהחזיר את הכספים לארנקיהם לאחר השלמת העסקה.
יתר על כן, השימוש במספרי זהות שנוצרו על ידי חוזים חכמים סייע להליך זה. עם זאת, חוזה הנעילה של Mirror Protocol לא הצליח לבדוק אם משתמש השתמש בעבר באותו מזהה כדי למשוך כספים עקב נוכחות של באג.
קריאה קשורה תאילנד מתכוננת לכלכלה דיגיטלית, מסירה העברות קריפטו ממע"מ עד סוף 2023
עם זאת, חוזה המנעול של מירור כנראה לא הצליח לבדוק מתי מישהו השתמש באותו תעודה מזהה כדי למשוך כספים פעמים רבות עקב תקלה בקוד.
באוקטובר 2021, ישות לא מזוהה גילתה שניתן להשתמש ברשימת תעודות זהות כפולות כדי לפתוח שוב ושוב בטחונות של מאות מונים ממה שהיו להם. המשמעות היא בעצם שהפושע רשאי למשוך כספים ללא רשות.
התקפה חדשה
ב-30 במאי, ימים ספורים לאחר הגילוי, פרוטוקול DeFi היה ממוקד שוב.
לפי דיווחים, הפריצה החדשה ביותר נבעה בשל פגם בקביעת אורקולי המחירים של החברה, מה שאפשר לתוקף לנצל את פער המחירים בין אסימוני LUNC הישנים לאסימוני LUNA החדשים.
הצמתים של Terra הפעילו תוכנת אורקל מיושנת, שאפשרה את התקיפה. ההאקר גנב מהפרוטוקול למעלה מ-2 מיליון דולר, לפי חבר קהילת Chainlink שגילה את המתקפה.
Terra/USD מתאחד לאחר התרסקות כמעט אפס. מָקוֹר: TradingView
זו לא הפעם הראשונה שפריצה נעלמת מעיניו לפרק זמן קצר. במרץ 2022, האקרים גנבו 600 מיליון דולר מרשת הצד של רונין, ולקח שבוע עד שמישהו שם לב. זה לא היה עד למשתמשים גילה הם לא יכלו למשוך את כספם שמישהו הבין שיש בעיה.
פרוטוקול מראה, כלומר נחקר על ידי רשות ניירות ערך, טרם הצהירה רשמית על המצב.
צוות פרוטוקול מירור עדיין לא פרסם הצהרה בנוגע לניצול, מה שעורר זעם בקהילה. FatMan, לעומת זאת, סבור שיש "ראיות משכנעות" לכך שההאקר היה מקורב.
למרות שזה לא ניצול ה-DeFi הראשון בהיסטוריה, זה זה שלקח הכי הרבה זמן להתגלות. טרה נמצאת תחת ביקורת רבה כאשר הלחץ גדל.
קריאה קשורה חומה לא כל כך גדולה: איך סין כשלה באופן חרוץ לאסור כריית ביטקוין
תמונה מוצגת מ- Shutterstock ותרשים מ- TradingView.com
מקור: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/