Vanale Terra plokiahelale ehitatud DeFi rakendust Mirror Protocol ründas 90. aasta oktoobris 2021 miljoni dollari suurune ärakasutamine ja see jäi kuni eelmise nädalani täiesti avastamata. Ründaja suutis mitu korda protokolli tagatise avada, makstes iga kord vaid väikese tasu.
Terra DeFi ründas seitse kuud tagasi
Kallis Terra DeFi ärakasutamine jäi seitse kuud kuni eelmise nädalani teatamata. Terra plokiahelale ehitatud Mirror Protocol võimaldas kasutajatel kasutada tehnoloogilistes aktsiates pikkade või lühikeste positsioonide võtmiseks sünteetilisi varasid.
Protokolli töömehhanismi häkiti aga 90 miljoni dollari eest. Terra keti DeFi rünnaku leidis eelmisel nädalal esmakordselt Terra kogukonna liige ja analüütik nimega "FatMan" ning nüüd on seda kinnitanud turvaanalüütikud BlockSec.
Kogukonna liikmed katteta Mirror Protocoli koodi nõrkus 17. mail, mis võimaldab häkkeril alates 90. oktoobrist 8 kulutada kuni 2021 miljonit dollarit.
FatMani sõnul, kes ütleb ta avastas häkkimise "puhtalt ebausaldusväärselt", ründaja varastas protokollist 89,706,164.03 XNUMX XNUMX dollarit tänu ärakasutamisele, mis võimaldas neil lukustuslepingu tagatist avada "väikse kulu ja nullriskiga ikka ja jälle".
Terra Classic kettide statistika selgus et ründaja suutis sama tehingu raames mitu korda UST-i vahendeid protokollist vabastada ainult 17.54 dollari eest.
Täpset ärakasutustehingut uurides uuris turvafirma BlockSec kinnitatud kogukonnaliikme leiud.
Kuidas see juhtus
Kasutajad peavad Mirrori aktsia vastu panustamiseks tagatise lukustama vähemalt neljateistkümneks päevaks. Selle tagatisega oli kaasas originaal Terra digitaalne valuuta LUNA (nüüd LUNA Classic või LUNC). Kaasatud olid ka mAssets ja nüüdseks kadunud stablecoin UST.
Pärast tehingu lõpetamist said kasutajad tagatise lukust lahti võtta ja raha oma rahakotti tagastada.
Lisaks aitas seda protseduuri kasutada nutikate lepingutega loodud ID-numbrite kasutamine. Mirror Protocoli lukustusleping aga ei suutnud vea olemasolu tõttu kontrollida, kas kasutaja oli varem sama ID-d raha väljavõtmiseks kasutanud.
Seotud lugemine | Tai valmistub digimajanduseks, eemaldab krüptoülekanded käibemaksust kuni 2023. aasta lõpuni
Peegli lukuleping aga ei suutnud ilmselt kontrollida, kui keegi sama ID-d koodivea tõttu mitu korda raha väljavõtmiseks kasutas.
2021. aasta oktoobris avastas tundmatu juriidiline isik, et korduvate ID-de loendi abil saab korduvalt avada sadu kordi rohkem tagatisi, kui neil oli. See tähendas sisuliselt, et kurjategija võib raha loata välja võtta.
Uus rünnak
30. mail, vaid mõni päev pärast avastust, võeti DeFi protokoll uuesti sihikule.
Järgi aruanded uusima häkkimise põhjuseks oli viga ettevõtte hinnaoraaklite seadistuses, mis võimaldas ründajal ära kasutada vanade LUNC-i ja uute LUNA-märkide vahelist erinevust.
Terra sõlmedes töötas vananenud oraaklitarkvara, mis võimaldas rünnakul toimuda. Rünnaku avastanud Chainlinki kogukonnaliikme sõnul varastas häkker protokollist rohkem kui 2 miljonit dollarit.
Terra/USD konsolideerub pärast nullilähedast krahhi. Allikas: TradingView
See pole esimene kord, kui häkkimine jääb lühikeseks ajaks märkamatuks. 2022. aasta märtsis häkkerid varastasid 600 miljonit dollarit Ronini külgahelast ja kulus nädal, enne kui keegi seda märkas. Alles kasutajad avastasin nad ei saanud oma raha välja võtta, et keegi sai aru, et probleem on.
Mirror Protocol, mis on uuritakse Väärtpaberi- ja börsikomisjon ei ole veel olukorra kohta ametlikku avaldust teinud.
Mirror Protocoli meeskond ei ole veel ärakasutamise kohta avaldust avaldanud, põhjustades kogukonna pahameele. FatMan seevastu usub, et on olemas veenvaid tõendeid selle kohta, et häkker oli sisering.
Kuigi see pole esimene DeFi ärakasutamine ajaloos, on selle avastamine võtnud kõige kauem aega. Terra on surve kuhjudes suure tähelepanu all.
Seotud lugemine | Mitte nii suur müür: kuidas Hiinal ebaõnnestus Bitcoini kaevandamise keelamine
Esiletõstetud pilt Shutterstockist ja graafik saidilt TradingView.com
Allikas: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/