Mirror Protocol, прыкладанне DeFi, пабудаванае на старым блокчейне Terra, падверглася эксплойту коштам 90 мільёнаў долараў у кастрычніку 2021 года і заставалася зусім нераскрытым да мінулага тыдня. Зламыснік змог некалькі разоў разблакіраваць забеспячэнне з пратаколу, кожны раз плацячы невялікую плату.
Terra's DeFi атакавалі сем месяцаў таму
Дарагі эксплойт Terra DeFi не паведамляўся на працягу сямі месяцаў да мінулага тыдня. Mirror Protocol, пабудаваны на блокчейне Terra, дазваляў карыстальнікам выкарыстоўваць сінтэтычныя актывы, каб займаць доўгія або кароткія пазіцыі ў тэхналагічных акцыях.
Аднак механізм працы пратакола быў узламаны на 90 мільёнаў долараў. Атака DeFi па ланцужку Terra была ўпершыню выяўлена на мінулым тыдні членам суполкі Terra і аналітыкам па імі «FatMan», і цяпер гэта было пацверджана аналітыкамі бяспекі BlockSec.
Члены суполкі непакрыты слабасць у кодзе Mirror Protocol 17 мая, што дазволіла хакеру зліць да 90 мільёнаў долараў з 8 кастрычніка 2021 года.
Па словах FatMan, які кажа ён выявіў узлом па «чыстай выпадковасці», зламыснік скраў $89,706,164.03 з пратаколу дзякуючы эксплойту, які дазволіў ім разблакіраваць забеспячэнне з кантракту на блакіроўку «зноў і зноў з невялікімі выдаткамі і без рызыкі».
Статыстыка Terra Classic у ланцужку выяўлена што зламыснік змог вызваліць сродкі UST з пратаколу шмат разоў у рамках адной транзакцыі ўсяго за $17.54 кожны раз.
Вывучаючы дакладную эксплойтную транзакцыю, ахоўная фірма BlockSec пацверджаны знаходкі ўдзельніка суполкі.
Як гэта здарылася
Карыстальнікі павінны заблакіраваць забеспячэнне мінімум на чатырнаццаць дзён, каб рабіць стаўкі супраць акцый на Mirror. Арыгінальная лічбавая валюта Terra, LUNA, была ўключана ў гэты заклад (цяпер LUNA Classic або LUNC). mAssets і цяпер неіснуючы стейблкойн UST таксама былі задзейнічаны.
Карыстальнікі змаглі разблакіраваць заклад і вярнуць грошы ў свае кашалькі пасля завяршэння гандлю.
Акрамя таго, выкарыстанне ідэнтыфікацыйных нумароў, створаных смарт-кантрактам, спрыяла гэтай працэдуры. Кантракт блакіроўкі Mirror Protocol, аднак, не змог праверыць, ці выкарыстоўваў карыстальнік раней той жа ID для зняцця сродкаў з-за наяўнасці памылкі.
Звязаныя чытанні | Тайланд рыхтуецца да лічбавай эканомікі, здымае криптотрансферы з ПДВ да канца 2023 года
Аднак кантракт на блакіроўку Mirror, відаць, не змог праверыць, калі хтосьці шмат разоў выкарыстоўваў адзін і той жа ідэнтыфікатар для зняцця сродкаў з-за памылкі ў кодзе.
У кастрычніку 2021 года неўстаноўленая арганізацыя выявіла, што спіс дублікатаў ідэнтыфікатараў можа быць выкарыстаны для шматразовага разблакіроўкі ў сотні разоў большага закладу, чым было ў іх. Па сутнасці, гэта азначала, што злачынец можа здымаць сродкі без дазволу.
Новая атака
30 мая, праз некалькі дзён пасля адкрыцця, пратакол DeFi зноў стаў мішэнню.
па справаздачы, апошні ўзлом быў выкліканы недахопам у наладзе цэнавых аракулаў кампаніі, што дазволіла зламысніку скарыстацца розніцай у цэнах паміж старымі токенамі LUNC і новымі LUNA.
На вузлах Terra было запушчана састарэлае праграмнае забеспячэнне Oracle, што дазволіла ажыццявіць атаку. Па словах члена супольнасці Chainlink, які выявіў атаку, хакер скраў з пратаколу больш за 2 мільёны долараў.
Terra/USD кансалідуецца пасля амаль нулявога падзення. Крыніца: TradingView
Гэта не першы выпадак, калі хак застаецца незаўважаным на працягу кароткага перыяду часу. У сакавіку 2022 г. хакеры скралі 600 мільёнаў долараў з сайдчэйну Ronin, і спатрэбіўся тыдзень, каб хто-небудзь заўважыў. Гэта было толькі да карыстальнікаў выяўлены яны не маглі зняць свае грошы, каб хто-небудзь зразумеў, што ёсць праблема.
Люстэркавы пратакол, які з'яўляецца расследуецца Камісіяй па каштоўных паперах і біржам пакуль не зрабіў афіцыйнай заявы аб сітуацыі.
Каманда Mirror Protocol яшчэ не выступіла з заявай адносна эксплойта, што выклікала абурэнне супольнасці. FatMan, з іншага боку, лічыць, што ёсць «пераканаўчыя доказы» таго, што хакер быў інсайдэрам.
Нягледзячы на тое, што гэта не першы эксплойт DeFi у гісторыі, гэта той, на выяўленне якога спатрэбілася больш за ўсё часу. Terra знаходзіцца пад пільнай увагай, паколькі ціск нарастае.
Звязаныя чытанні | Не такая ўжо і Great Wall: як Кітаю не ўдалося забараніць здабычу біткойнаў
Рэкамендаваны малюнак з Shutterstock і дыяграма з TradingView.com
Крыніца: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/