2021. aasta oktoobris andis DeFi rakendus Mirror Protocol alla 90 miljoni dollari suuruse ärakasutamise vanal Terra plokiahelal – ja see jäi kuni eelmise nädalani täiesti märkamatuks.
Peegelprotokoll võimaldas kasutajatel sünteetilisi varasid kasutades tehnoloogilistel aktsiatel võtta pikki või lühikesi positsioone. See ehitati Terrale, mis kukkus selle kuu alguses kokku pärast seda, kui selle peamine stabiilne münt kaotas USA dollari sidumise, tõmmates endaga kaasa oma sõsarmärgi Luna. (Plokiahel on nüüd taaselustatud kui Terra 2.0, samas kui algne kett elab edasi kui Terra Classic).
Ärakasutamine oli avastasin Terra kogukonna liige ja analüütik nimega "FatMan". Ta on uue Terra plokiahela hiljutisel turuletoomisel olnud üks häälekamaid antagoniste.
Turvafirma BlockSec kinnitatud kogukonna liikme leide, analüüsides konkreetset ekspluatatsioonitehingut. BlockSec kinnitas, et ärakasutamine tõepoolest toimus.
Kuidas ärakasutamine juhtus?
Kui keegi tahtis Mirrori aktsia vastu panustada, pidi ta seda tegema luku tagatis — sealhulgas UST, LUNA Classic (LUNC) ja mAssets — vähemalt 14 päevaks.
Pärast tehingu lõppemist said kasutajad tagatise avada, et raha tagasi rahakotti vabastada. Kõik see toimus nutikate lepingutega genereeritud ID-numbrite abil.
Väidetavalt ei suutnud Mirrori lukuleping aga lollaka koodi tõttu kontrollida, kui keegi kasutas raha väljavõtmiseks sama ID-d mitu korda.
2021. aasta oktoobris märkas üks tundmatu isik, et nad saavad kasutada topelt-ID-de loendit, et avada korduvalt sadu kordi rohkem tagatisi, kui neil oli. Põhimõtteliselt tähendas see, et kurjategija võis raha välja võtta ilma igasuguse loata.
See üksus kulutas kokku umbes 90 miljonit dollarit plokiahela kirjed.
Seitse kuud märkamatult
Peegli ärakasutamine võib olla üks haruldasi sündmusi, kus ahelasiseste andmete olemasolust hoolimata jäi suur häkkimine pikka aega avalikustamata. Tavaliselt annavad projektid läbipaistvuse huvides turvasündmustest kiiresti aru.
BlockSec ütles, et ärakasutamine jäi tõenäoliselt märkamatuks, kuna vähem inimesi otsis Terras probleeme võrreldes Ethereumi ja Ethereumiga ühilduvate kettidega.
Lisaks puudus Mirrori veebilehel liides, mis võimaldaks kontrollida tagatise kogusummat protokollis. See muutis haavatavuse märkamise palju raskemaks ilma suurt hulka plokiahela andmeid läbi sõelumata.
Selle kuu alguses parandasid Mirrori arendajad haavatavuse vaikselt, umbes samal ajal, kui UST stablecoin hakkas kokku kukkuma. Nädal hiljem pärast plaastrit hakkasid kogukonna liikmed mõtlema, kas juhtimisarutelu kohaselt võis see ära kasutada. On ebaselge, kas Mirrori arendajad teadsid ärakasutamisest.
See pole aga esimene kord, kui häkkimine lühikeseks ajaks radari alla jääb. Kui häkkerid varastasid 600. aasta märtsis Ronini külgahelast 2022 miljonit dollarit, läks nädal enne, kui keegi taipas, et see juhtus. Alles siis, kui kasutajad avastasid, et nad ei saa oma raha välja võtta, mõistis keegi, et neil on puudujääk.
Mirror Protocol, mille kohta SEC on uurinud, ei ole veel seda teemat ametlikult kommenteerinud. Mirrori või Terraform Labsi meeskond ei ole veel kommentaaritaotlusele vastanud.
Selliste murranguliste lugude jaoks järgige kindlasti The Blocki puperdama.
© 2022 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss