У кастрычніку 2021 года прыкладанне DeFi Mirror Protocol паддалося эксплойту ў 90 мільёнаў долараў на старым блокчейне Terra — і гэта заставалася зусім незаўважаным да мінулага тыдня.
Пратакол Mirror дазваляў карыстальнікам займаць доўгія або кароткія пазіцыі па акцыях тэхналогій з выкарыстаннем сінтэтычных актываў. Ён быў пабудаваны на Terra, якая абвалілася ў пачатку гэтага месяца пасля таго, як яе асноўны стейблкойн страціў прывязку да даляра ЗША, што пацягнула за сабой даччынны токен Luna. (Цяпер блокчейн быў адноўлены як Terra 2.0, у той час як арыгінальны ланцужок працягвае жыць як Terra Classic).
Подзьвіг быў выяўлены член суполкі Terra і аналітык пад назвай «FatMan». Ён быў адным з самых гучных антаганістаў нядаўняга запуску новага блокчейна Terra.
Ахоўная фірма BlockSec пацверджаны высновы члена супольнасці шляхам аналізу канкрэтнай транзакцыі эксплойта. BlockSec пацвердзіў, што эксплойт сапраўды меў месца.
Як адбыўся эксплойт?
Кожны раз, калі хтосьці хацеў зрабіць стаўку супраць акцый на Mirror, ён павінен быў зрабіць гэта замак заклад — у тым ліку UST, LUNA Classic (LUNC) і mAssets — мінімум на 14 дзён.
Пасля завяршэння гандлю карыстальнікі маглі разблакіраваць заклад, каб вярнуць сродкі назад у кашалёк. Усё гэта было зроблена з дапамогай ідэнтыфікацыйных нумароў, створаных смарт-кантрактам.
Аднак з-за памылковага кода кантракт на блакіроўку Mirror нібыта не змог праверыць, калі хтосьці выкарыстоўваў адзін і той жа ідэнтыфікатар некалькі разоў для зняцця сродкаў.
У кастрычніку 2021 года адна невядомая арганізацыя заўважыла, што можа выкарыстоўваць спіс дублікатаў ідэнтыфікатараў, каб разблакіраваць у сотні разоў больш закладу, чым было. У асноўным гэта азначала, што злачынец мог здымаць сродкі без усялякага дазволу.
Паводле звестак, гэтая арганізацыя зліла ў агульнай складанасці каля 90 мільёнаў долараў блокчейн запісы.
Заставаўся незаўважаным сем месяцаў
Эксплойт Mirror можа быць адной з рэдкіх падзей, калі, нягледзячы на наяўнасць у ланцужку даных, буйны ўзлом доўгі час заставаўся нераскрытым. Звычайна праекты хутка паведамляюць пра падзеі бяспекі дзеля празрыстасці.
BlockSec сказаў, што эксплойт, хутчэй за ўсё, застаўся незаўважаным, таму што менш людзей шукала праблемы на Terra ў параўнанні з Ethereum і сумяшчальнымі з Ethereum ланцужкамі.
Акрамя таго, на сайце Mirror адсутнічаў інтэрфейс, які дазваляў праверыць агульную суму закладу ў пратаколе. Гэта зрабіла нашмат цяжэй заўважыць уразлівасць без прагляду вялікай колькасці даных блокчейна.
Раней у гэтым месяцы распрацоўшчыкі Mirror незаўважна выправілі ўразлівасць прыкладна ў той жа час, калі стейблкойн UST пачаў руйнавацца. Праз тыдзень пасля патча члены суполкі пачалі задавацца пытаннем, ці мог быць эксплойт, згодна з абмеркаваннем у кіраванні. Пакуль незразумела, ці ведалі распрацоўшчыкі Mirror пра эксплойт.
Аднак гэта не першы раз, калі хакерства на кароткі час застаецца па-за радарам. Калі ў сакавіку 600 года хакеры скралі 2022 мільёнаў долараў з сайдчэйна Ronin, прайшоў тыдзень, перш чым хто-небудзь зразумеў, што гэта адбылося. І толькі тады, калі карыстальнікі выявілі, што не могуць зняць свае сродкі, хто-небудзь зразумеў, што ёсць недахоп.
Пратакол Mirror, які з'яўляецца прадметам расследавання SEC, пакуль не зрабіў афіцыйных каментароў па гэтым пытанні. Каманда Mirror або Terraform Labs пакуль не адказала на запыт аб каментарыі.
Каб даведацца больш пра такія надзвычайныя гісторыі, сачыце за The Block Twitter.
© 2022 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.
Крыніца: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss