Pada Oktober 2021, aplikasi DeFi Mirror Protocol tunduk kepada eksploitasi $90 juta pada blok Terra lama — dan ia tidak disedari sama sekali sehingga minggu lepas.
Protokol cermin membenarkan pengguna mengambil kedudukan panjang atau pendek pada saham teknologi menggunakan aset sintetik. Ia dibina di atas Terra, yang runtuh awal bulan ini selepas stablecoin utamanya kehilangan tambatannya kepada dolar AS, mengheret kakaknya token Luna turun bersamanya. (Blockchain kini telah dihidupkan semula sebagai Terra 2.0, manakala rantaian asal kekal sebagai Terra Classic).
Eksploitasi itu ditemui oleh ahli komuniti Terra dan penganalisis yang dipanggil "FatMan." Beliau telah menjadi salah seorang antagonis yang paling lantang dalam pelancaran blok Terra baharu baru-baru ini.
Firma keselamatan BlockSec disahkan penemuan ahli komuniti dengan menganalisis transaksi eksploitasi khusus. BlockSec mengesahkan eksploitasi memang berlaku.
Bagaimanakah eksploitasi itu berlaku?
Setiap kali seseorang ingin bertaruh terhadap saham di Mirror, mereka terpaksa kunci cagaran — termasuk UST, LUNA Classic (LUNC) dan mAssets — selama sekurang-kurangnya 14 hari.
Selepas perdagangan berakhir, pengguna boleh membuka kunci cagaran untuk melepaskan dana kembali ke dompet. Semua ini dilakukan dengan bantuan nombor ID yang dijana kontrak pintar.
Bagaimanapun, disebabkan kod buggy, kontrak kunci Mirror didakwa gagal menyemak apabila seseorang menggunakan ID yang sama lebih daripada sekali untuk mengeluarkan dana.
Pada Oktober 2021, satu entiti yang tidak diketahui menyedari bahawa mereka boleh menggunakan senarai ID pendua untuk berulang kali membuka kunci cagaran beratus kali ganda daripada yang mereka miliki. Ini pada asasnya bermakna pelaku boleh mengeluarkan dana tanpa sebarang kebenaran.
Entiti ini menghabiskan kira-kira $90 juta secara keseluruhan, menurut rekod blockchain.
Pergi tanpa disedari selama tujuh bulan
Eksploitasi Mirror mungkin salah satu peristiwa yang jarang berlaku di mana, walaupun terdapat data dalam rantaian, satu penggodaman besar kekal tidak didedahkan untuk masa yang lama. Biasanya, projek cepat melaporkan peristiwa keselamatan demi ketelusan.
BlockSec berkata eksploitasi itu mungkin tidak disedari kerana lebih sedikit orang yang mengimbas isu mengenai Terra berbanding dengan rantaian serasi Ethereum dan Ethereum.
Di samping itu, tiada antara muka di laman web Mirror yang memungkinkan untuk menyemak jumlah cagaran dalam protokol. Ini menjadikannya lebih sukar untuk melihat kelemahan tanpa menyaring sejumlah besar data blockchain.
Awal bulan ini, pembangun Mirror secara senyap-senyap membetulkan kelemahan, pada masa yang sama apabila stablecoin UST mula runtuh. Seminggu kemudian selepas tampalan itu, ahli komuniti mula tertanya-tanya sama ada mungkin ada eksploitasi, menurut perbincangan tadbir urus. Tidak jelas sama ada pembangun Mirror mengetahui tentang eksploitasi itu.
Walau bagaimanapun, ini bukan kali pertama penggodaman berada di bawah radar untuk masa yang singkat. Apabila penggodam mencuri $600 juta daripada rantai sampingan Ronin pada Mac 2022, seminggu berlalu sebelum sesiapa menyedari ia telah berlaku. Hanya apabila pengguna mendapati mereka tidak dapat mengeluarkan dana mereka barulah sesiapa menyedari terdapat kekurangan.
Mirror Protocol, yang menjadi subjek siasatan SEC, masih belum membuat ulasan rasmi mengenai perkara itu. Pasukan di Mirror atau Terraform Labs masih belum membalas permintaan untuk komen.
Untuk lebih banyak cerita pecah seperti ini, pastikan untuk mengikuti The Block on Twitter.
© 2022 The Block Crypto, Inc. Hak Cipta Terpelihara. Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau lain-lain.
Sumber: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss