💬 Эксплойт DeFi стоимостью 90 миллионов долларов на Terra оставался незамеченным в течение семи месяцев

Эксплойт DeFi стоимостью 90 миллионов долларов на Terra оставался незамеченным в течение семи месяцев

В октябре 2022 года приложение DeFi Mirror Protocol стало жертвой эксплойта стоимостью 90 миллионов долларов в старой цепочке блоков Terra, и до прошлой недели это оставалось совершенно незамеченным.

Протокол Mirror позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на Terra, которая рухнула в начале этого месяца после того, как ее основной стейблкоин потерял привязку к доллару США, потащив за собой родственный токен Luna. (Блокчейн теперь возрожден как Terra 2.0, а исходная цепочка живет как Terra Classic).

Эта уязвимость была случайно обнаружена членом сообщества Terra, известным как FatMan. Он был одним из самых ярых противников недавнего запуска нового блокчейна Terra.

Охранная компания BlockSec подтвердила выводы участника сообщества, проанализировав конкретную транзакцию эксплойта. BlockSec подтвердил, что эксплойт действительно имел место.

Как произошел эксплойт?

Всякий раз, когда кто-то хотел сделать ставку на акцию на Mirror, он должен был заблокировать обеспечение, включая UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней.

После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно в кошелек. Все это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом.

Однако из-за ошибочного кода контракт блокировки Mirror предположительно не мог проверить, когда кто-то использовал один и тот же идентификатор более одного раза для вывода средств.

В октябре 2021 г. одна неизвестная организация заметила, что может использовать список повторяющихся идентификаторов, чтобы многократно открывать в сотни раз больше залогов, чем у них было. По сути, это означало, что злоумышленник мог снимать средства без какого-либо разрешения.

Согласно записям блокчейна, эта организация в общей сложности слила около 90 млн долларов.

Оставаться незамеченным в течение семи месяцев

Экплойт Mirror может быть одним из редких событий, когда, несмотря на наличие данных в сети, крупный взлом долгое время оставался нераскрытым. Обычно проекты быстро сообщают о событиях безопасности ради прозрачности.

BlockSec заявила, что эксплойт, скорее всего, остался незамеченным, потому что меньше людей сканировали Terra на наличие проблем по сравнению с Ethereum и цепочками, совместимыми с Ethereum.

Кроме того, на сайте Зеркала отсутствовал интерфейс, позволяющий проверить общую сумму залога в протоколе. Из-за этого было намного сложнее заметить уязвимость без просеивания большого количества данных блокчейна.

Ранее в этом месяце разработчики Mirror незаметно исправили уязвимость примерно в то же время, когда стейблкоин UST начал рушиться. Через неделю после исправления члены сообщества начали задаваться вопросом, мог ли быть эксплойт, согласно обсуждению руководства. Неясно, знали ли разработчики Mirror об эксплойте.

Однако это не первый случай, когда взлом на короткое время остается незамеченным. Когда хакеры украли 600 миллионов долларов из сайдчейна Ronin в марте 2022 года, прошла неделя, прежде чем кто-либо понял, что это произошло. Только когда пользователи обнаружили, что не могут вывести свои средства, кто-то понял, что возникла нехватка средств.

Mirror Protocol, являющийся предметом расследования Комиссии по ценным бумагам и биржам США, еще не дал официального комментария по этому поводу. Команда Mirror или Terraform Labs еще не ответила на запрос о комментариях.

© 2022 The Block Crypto, Inc. Все права защищены. Эта статья предоставлена ​​только в ознакомительных целях. Он не предлагается и не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или иного совета.