2021 年 90 月,DeFi 應用程式 Mirror Protocol 在舊的 Terra 區塊鏈上遭受了價值 XNUMX 萬美元的攻擊,直到上週才完全被注意到。
鏡像協議允許用戶使用合成資產對科技股進行多頭或空頭部位。 它是建立在 Terra 之上的,本月早些時候,Terra 因主要穩定幣失去與美元的掛鉤而崩潰,拖累了其姐妹代幣 Luna。 (區塊鏈現已恢復為 Terra 2.0,而原始鏈則以 Terra Classic 的形式繼續存在)。
該漏洞是 發現 由 Terra 社群成員兼分析師「FatMan」提出。 他是最近推出的新 Terra 區塊鏈中最強烈的反對者之一。
安全公司 BlockSec 確鑿 透過分析特定的漏洞利用交易來了解社區成員的發現。 BlockSec 確認確實發生了漏洞利用。
漏洞利用是如何發生的?
每當有人想在《鏡報》上做空某檔股票時,他們就必須 鎖定抵押品 — 包括 UST、LUNA Classic (LUNC) 和 mAssets — 至少 14 天。
交易結束後,用戶可以解鎖抵押品,將資金放回錢包。 所有這一切都是在智能合約產生的 ID 號碼的幫助下完成的。
然而,由於代碼錯誤,據稱當有人多次使用相同 ID 提取資金時,Mirror 的鎖定合約無法檢查。
2021 年 XNUMX 月,一個未知實體注意到他們可以使用重複 ID 清單來重複解鎖比他們擁有的抵押品多數百倍的抵押品。 這基本上意味著犯罪者可以在未經任何授權的情況下提取資金。
根據統計,該實體總共消耗了約 90 萬美元 區塊鏈記錄.
七個月無人問津
鏡像漏洞可能是罕見的事件之一,儘管存在鏈上數據,但重大駭客攻擊在很長一段時間內仍未被披露。 通常,出於透明度的考慮,專案會快速報告安全事件。
BlockSec 表示,該漏洞可能未被注意到,因為與以太坊和以太坊相容鏈相比,在 Terra 上掃描問題的人較少。
此外,Mirror 網站上沒有可以檢查協議中抵押品總量的介面。 這使得在不篩選大量區塊鏈資料的情況下更難發現該漏洞。
本月早些時候,Mirror 開發人員悄悄修復了漏洞,大約在 UST 穩定幣開始崩潰的同時。 根據治理討論,在補丁發布一週後,社群成員開始懷疑是否有漏洞。 目前尚不清楚 Mirror 的開發者是否知道該漏洞。
然而,這並不是駭客第一次在短時間內不受關注。 600 年 2022 月,駭客從 Ronin 側鏈竊取了 XNUMX 億美元,一週後,人們意識到這件事發生了。 直到用戶發現無法提取資金時,人們才意識到有資金短缺。
作為 SEC 調查對象的 Mirror Protocol 尚未對此事發表正式評論。 Mirror 或 Terraform Labs 的團隊尚未回覆評論請求。
對於更多這樣的突發故事,請務必關注 The Block Twitter.
©2022 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss