Mirror Protocol, aplikasi DeFi yang dibina pada blok Terra lama, telah diserang oleh eksploitasi $90 juta pada Oktober 2021, dan ia masih belum ditemui sepenuhnya sehingga minggu lepas. Penyerang dapat membuka kunci cagaran daripada protokol beberapa kali sambil hanya membayar sedikit yuran setiap kali.
DeFi Terra Diserang Tujuh Bulan Lalu
Eksploitasi Terra DeFi yang mahal tidak dilaporkan selama tujuh bulan sehingga minggu lepas. Mirror Protocol, dibina pada blok Terra, membenarkan pengguna menggunakan aset sintetik untuk mengambil kedudukan panjang atau pendek dalam saham teknologi.
Mekanisme operasi protokol, bagaimanapun, telah digodam untuk $90 juta. Serangan DeFi rantaian Terra pertama kali ditemui minggu lepas oleh ahli komuniti dan penganalisis Terra bernama "FatMan," dan kini telah disahkan oleh penganalisis keselamatan BlockSec.
Ahli komuniti terbongkar kelemahan dalam kod Mirror Protocol pada 17 Mei, membenarkan penggodam menghabiskan sehingga $90 juta mulai 8 Oktober 2021.
Menurut FatMan, yang berkata dia menemui penggodaman itu dengan "serendipity tulen", penyerang itu mencuri $89,706,164.03 daripada protokol itu berkat eksploitasi yang membolehkan mereka membuka kunci cagaran daripada kontrak kunci "berulang kali dengan kos yang kecil dan risiko sifar."
Statistik dalam rantaian Terra Classic mendedahkan bahawa penyerang dapat mengeluarkan dana UST daripada protokol berkali-kali dalam urus niaga yang sama dengan hanya $17.54 setiap kali.
Dengan mengkaji transaksi eksploitasi yang tepat, firma keselamatan BlockSec disahkan penemuan ahli masyarakat.
Bagaimana Ia Berlaku
Pengguna perlu mengunci cagaran selama sekurang-kurangnya empat belas hari untuk bertaruh terhadap saham di Mirror. Mata wang digital Terra asal, LUNA, disertakan dengan cagaran ini (kini LUNA Classic atau LUNC). mAssets dan stablecoin UST yang kini tidak berfungsi juga turut terlibat.
Pengguna dapat membuka kunci cagaran dan mengembalikan wang ke dompet mereka setelah perdagangan selesai.
Tambahan pula, penggunaan nombor ID yang dijana kontrak pintar membantu prosedur ini. Kontrak kunci Protokol Mirror, bagaimanapun, tidak dapat menyemak sama ada pengguna sebelum ini menggunakan ID yang sama untuk mengeluarkan dana disebabkan kehadiran pepijat.
Bacaan Berkaitan | Thailand Sedia Sendiri Untuk Ekonomi Digital, Mengeluarkan Pemindahan Kripto Daripada VAT Hingga Akhir 2023
Walau bagaimanapun, kontrak kunci Mirror nampaknya gagal disemak apabila seseorang menggunakan ID yang sama untuk mengeluarkan dana berkali-kali kerana kesalahan dalam kod.
Pada Oktober 2021, entiti tidak dikenali mendapati bahawa senarai ID pendua boleh digunakan untuk berulang kali membuka kunci ratusan kali lebih banyak cagaran daripada yang mereka miliki. Ini pada asasnya bermakna penjenayah boleh mengeluarkan dana tanpa kebenaran.
Serangan Baru
Pada 30 Mei, hanya beberapa hari selepas penemuan, protokol DeFi disasarkan semula.
Menurut laporan, hack terbaharu didorong oleh kecacatan dalam penetapan ramalan harga syarikat, yang membenarkan penyerang mengambil kesempatan daripada perbezaan harga antara token LUNC lama dan LUNA baharu.
Nod Terra menjalankan perisian oracle usang, yang membenarkan serangan itu berlaku. Penggodam itu mencuri lebih daripada $2 juta daripada protokol itu, menurut ahli komuniti Chainlink yang menemui serangan itu.
Terra/USD menyatu selepas hampir sifar kemalangan. Sumber: TradingView
Ini bukan kali pertama penggodaman tidak disedari untuk tempoh masa yang singkat. Pada Mac 2022, penggodam mencuri $600 juta daripada rantai sisi Ronin, dan ia mengambil masa seminggu untuk sesiapa sahaja menyedarinya. Ia tidak sehingga pengguna ditemui mereka tidak boleh mengeluarkan wang mereka yang sesiapa menyedari ada masalah.
Protokol Cermin, iaitu sedang disiasat oleh Suruhanjaya Sekuriti dan Bursa, masih belum membuat kenyataan rasmi mengenai situasi itu.
Pasukan Mirror Protocol masih belum mengeluarkan kenyataan mengenai eksploitasi itu, menyebabkan kemarahan masyarakat. FatMan, sebaliknya, percaya bahawa terdapat "bukti kukuh" bahawa penggodam itu adalah orang dalam.
Walaupun ini bukan eksploitasi DeFi pertama dalam sejarah, ia adalah yang paling lama untuk ditemui. Terra berada di bawah banyak penelitian kerana timbunan tekanan.
Bacaan Berkaitan | Tembok Tidak Sebegitu Besar: Bagaimana China Gagal Sungguh-sungguh Mengharamkan Perlombongan Bitcoin
Imej pilihan daripada Shutterstock dan carta daripada TradingView.com
Sumber: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/