2021 m. spalį DeFi programa Mirror Protocol pasidavė 90 milijonų dolerių išnaudojimui senojoje Terra blokų grandinėje – ir tai buvo visiškai nepastebėta iki praėjusios savaitės.
Veidrodinis protokolas leido vartotojams užimti ilgas arba trumpas pozicijas technologijų akcijose naudojant sintetinį turtą. Ji buvo pastatyta ant Terra, kuri žlugo anksčiau šį mėnesį, kai pagrindinė stabili moneta prarado susiejimą su JAV doleriu ir kartu su savimi nusivilko seserinį žetoną Luna. (Dabar blokų grandinė buvo atgaivinta kaip Terra 2.0, o originali grandinė išlieka kaip Terra Classic).
Išnaudojimas buvo atrado Terra bendruomenės narys ir analitikas pavadinimu „FatMan“. Jis buvo vienas garsiausių antagonistų neseniai pradėjus naudoti naują „Terra“ blokų grandinę.
Apsaugos įmonė BlockSec patvirtinta bendruomenės nario išvadas, analizuodamas konkretų išnaudojimo sandorį. „BlockSec“ patvirtino, kad išnaudojimas iš tikrųjų įvyko.
Kaip įvyko išnaudojimas?
Kai kas nors norėjo lažintis prieš Mirror akcijas, jis turėjo tai padaryti užraktas užstatas – įskaitant UST, LUNA Classic (LUNC) ir mAssets – mažiausiai 14 dienų.
Pasibaigus sandoriui, vartotojai galėjo atrakinti užstatą, kad grąžintų lėšas į piniginę. Visa tai buvo padaryta pasitelkus išmaniuosius kontraktus sugeneruotus ID numerius.
Tačiau dėl klaidingo kodo „Mirror's“ užrakto sutartyje tariamai nepavyko patikrinti, ar kas nors daugiau nei vieną kartą naudojo tą patį ID, kad išgrynintų lėšas.
2021 m. spalio mėn. vienas nežinomas subjektas pastebėjo, kad gali naudoti pasikartojančių ID sąrašą, kad pakartotinai atrakintų šimtus kartų daugiau užstato, nei turėjo. Tai iš esmės reiškė, kad kaltininkas galėjo atsiimti lėšas be jokio leidimo.
Pasak šio subjekto, iš viso išeikvota apie 90 mln blockchain įrašai.
Nepastebėtas septynis mėnesius
„Mirror“ išnaudojimas gali būti vienas iš retų įvykių, kai, nepaisant grandinėje esančių duomenų, didelis įsilaužimas ilgą laiką liko neatskleistas. Paprastai projektai greitai praneša apie saugumo įvykius skaidrumo sumetimais.
„BlockSec“ teigė, kad išnaudojimas greičiausiai liko nepastebėtas, nes mažiau žmonių ieškojo problemų „Terra“, palyginti su „Ethereum“ ir „Ethereum“ suderinamomis grandinėmis.
Be to, Mirror svetainėje nebuvo sąsajos, kuri leistų patikrinti bendrą užstato sumą protokole. Dėl to buvo daug sunkiau pastebėti pažeidžiamumą, neįvertinus didelio blokų grandinės duomenų kiekio.
Anksčiau šį mėnesį „Mirror“ kūrėjai tyliai ištaisė pažeidžiamumą, maždaug tuo pačiu metu, kai UST stabili moneta pradėjo žlugti. Praėjus savaitei po pataisymo, bendruomenės nariai ėmė domėtis, ar galėjo būti išnaudojimas, remiantis valdymo diskusijomis. Neaišku, ar „Mirror“ kūrėjai žinojo apie išnaudojimą.
Tačiau tai ne pirmas kartas, kai įsilaužimas trumpam patenka į radarą. Kai 600 m. kovo mėn. įsilaužėliai pavogė 2022 milijonų dolerių iš Ronin šoninės grandinės, praėjo savaitė, kol niekas nesuprato, kad tai įvyko. Tik tada, kai vartotojai sužinojo, kad negali atsiimti savo lėšų, kas nors suprato, kad jų trūksta.
„Mirror Protocol“, dėl kurio buvo atliktas SEC tyrimas, dar nepateikė oficialaus komentaro šiuo klausimu. „Mirror“ arba „Terraform Labs“ komanda dar neatsakė į prašymą pakomentuoti.
Norėdami gauti daugiau tokių žlugdančių istorijų, būtinai sekite „Bloką“ Twitter.
© 2022 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
Šaltinis: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss