В октябре 2021 года приложение DeFi Mirror Protocol в старом блокчейне Terra стало жертвой эксплойта на $90 млн. До прошлой недели эксплоит оставался совершенно незамеченным, но был случайно обнаружен членом сообщества Terra на прошлой неделе. Это подтвердили аналитики безопасности BlockSec.
Mirror Protocol (MIR) позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на старом блокчейне Terra, токен которого рухнул в начале этого месяца после того, как основной стейблкоин экосистемы Terra USD (UST) потерял привязку к доллару США, потащив за собой родственный токен LUNA. Блокчейн теперь возрожден как Terra 2.0, а исходная сеть продолжает работу под названием Terra Classic (LUNC).
Эксплойт был обнаружен членом сообщества Terra и аналитиком по имени FatMan. Он был одним из самых ярых противников недавнего запуска нового блокчейна Terra.
Охранная фирма BlockSec подтвердила выводы члена сообщества, проанализировав конкретную транзакцию эксплойта. BlockSec подтвердил, что эксплойт действительно имел место.
Как произошел эксплойт?
Всякий раз, когда кто-то хотел сделать ставку на акцию на Mirror, он должен был заблокировать обеспечение, включая UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней.
После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно в кошелек. Все это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом.
Однако из-за глючного кода контракт блокировки Mirror якобы не проверял, когда кто-то использовал один и тот же идентификатор более одного раза для вывода средств.
В октябре 2021 года одна неизвестная организация заметила, что они могут использовать список повторяющихся идентификаторов, чтобы неоднократно разблокировать в сотни раз больше залога, чем у них было. По сути, это означало, что преступник мог снимать средства без какого-либо разрешения.
Согласно записям блокчейна, эта организация потратила в общей сложности около 90 миллионов долларов.
Оставаться незамеченным в течение семи месяцев
Эксплойт Mirror может быть одним из редких событий, когда, несмотря на наличие данных в сети, крупный взлом долгое время оставался нераскрытым. Обычно проекты быстро сообщают о событиях безопасности ради прозрачности.
BlockSec заявила, что эксплойт, вероятно, остался незамеченным, потому что меньше людей сканировали Terra на наличие проблем по сравнению с Ethereum и Ethereum-совместимыми блокчейнами.
Кроме того, на сайте Mirror отсутствовал интерфейс, позволяющий проверить общую сумму залога в протоколе. Это значительно усложнило обнаружение уязвимости без просеивания большого количества данных блокчейна.
Ранее в этом месяце разработчики Mirror незаметно исправили уязвимость примерно в то же время, когда стейблкоин UST начал рушиться. Через неделю после исправления члены сообщества начали задаваться вопросом, мог ли быть эксплойт, согласно обсуждению руководства. Неясно, знали ли разработчики Mirror об эксплойте.
Однако это не первый случай, когда взлом какое-то время остается незамеченным. Когда хакеры украли 600 миллионов долларов из сайдчейна Ronin в марте 2022 года, прошла неделя, прежде чем кто-либо понял, что это произошло. Только когда пользователи обнаружили, что они не могут вывести свои средства, кто-то заподозрил, что возникла нехватка средств.
Mirror Protocol, который является предметом расследования SEC, пока не дал официального комментария по этому поводу. Не отвечает на запросы о комментариях и его материнская компания Terraform Labs.
