Эксплойт DeFi на $90 млн в Terra Classic семь месяцев оставался незамеченным

Эксплойт DeFi на $90 млн в Terra Classic семь месяцев оставался незамеченным

В октябре 2021 года приложение DeFi Mirror Protocol в старом блокчейне Terra стало жертвой эксплойта на $90 млн. До прошлой недели эксплоит оставался совершенно незамеченным, но был случайно обнаружен членом сообщества Terra на прошлой неделе. Это подтвердили аналитики безопасности BlockSec.

Mirror Protocol (MIR) позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на старом блокчейне Terra, токен которого рухнул в начале этого месяца после того, как основной стейблкоин экосистемы Terra USD (UST) потерял привязку к доллару США, потащив за собой родственный токен LUNA. Блокчейн теперь возрожден как Terra 2.0, а исходная сеть продолжает работу под названием Terra Classic (LUNC).

Эксплойт был обнаружен членом сообщества Terra и аналитиком по имени FatMan. Он был одним из самых ярых противников недавнего запуска нового блокчейна Terra.

Охранная фирма BlockSec подтвердила выводы члена сообщества, проанализировав конкретную транзакцию эксплойта. BlockSec подтвердил, что эксплойт действительно имел место.

Как произошел эксплойт?

Всякий раз, когда кто-то хотел сделать ставку на акцию на Mirror, он должен был заблокировать обеспечение, включая UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней.

После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно в кошелек. Все это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом.

Однако из-за глючного кода контракт блокировки Mirror якобы не проверял, когда кто-то использовал один и тот же идентификатор более одного раза для вывода средств.

В октябре 2021 года одна неизвестная организация заметила, что они могут использовать список повторяющихся идентификаторов, чтобы неоднократно разблокировать в сотни раз больше залога, чем у них было. По сути, это означало, что преступник мог снимать средства без какого-либо разрешения.

Согласно записям блокчейна, эта организация потратила в общей сложности около 90 миллионов долларов.

Оставаться незамеченным в течение семи месяцев

Эксплойт Mirror может быть одним из редких событий, когда, несмотря на наличие данных в сети, крупный взлом долгое время оставался нераскрытым. Обычно проекты быстро сообщают о событиях безопасности ради прозрачности.

BlockSec заявила, что эксплойт, вероятно, остался незамеченным, потому что меньше людей сканировали Terra на наличие проблем по сравнению с Ethereum и Ethereum-совместимыми блокчейнами.

Кроме того, на сайте Mirror отсутствовал интерфейс, позволяющий проверить общую сумму залога в протоколе. Это значительно усложнило обнаружение уязвимости без просеивания большого количества данных блокчейна.

Ранее в этом месяце разработчики Mirror незаметно исправили уязвимость примерно в то же время, когда стейблкоин UST начал рушиться. Через неделю после исправления члены сообщества начали задаваться вопросом, мог ли быть эксплойт, согласно обсуждению руководства. Неясно, знали ли разработчики Mirror об эксплойте.

Однако это не первый случай, когда взлом какое-то время остается незамеченным. Когда хакеры украли 600 миллионов долларов из сайдчейна Ronin в марте 2022 года, прошла неделя, прежде чем кто-либо понял, что это произошло. Только когда пользователи обнаружили, что они не могут вывести свои средства, кто-то заподозрил, что возникла нехватка средств.

Mirror Protocol, который является предметом расследования SEC, пока не дал официального комментария по этому поводу. Не отвечает на запросы о комментариях и его материнская компания Terraform Labs.

Эксплойт DeFi на $90 млн в Terra Classic семь месяцев оставался незамеченным

Эксплойт DeFi на $90 млн в Terra Classic семь месяцев оставался незамеченным

Источник

Добавить комментарий

Ваш адрес email не будет опубликован.

Новости DeFi

Платформа DeFi Oasis блокирует адреса кошельков, которые считает рискованными

Пользователи сообщают, что их сеансы были отключены при попытке взаимодействия с Oasis из-за решения платформы закрыть доступ «кошелькам с высоким риском». На официальном канале в Discord платформа децентрализованных финансов (DeFi) Oasis.app сообщила, что адреса, находящиеся под санкциями OFAC, больше не смогут получить доступ к приложению. В результате изменения условий обслуживания кошелькам, помеченным как высокорисковые, запрещено […]

Читать дальше
Новости DeFi

Фьючерсные контракты USDT набирают популярность, почему?

Когда BitMEX запустил свой рынок бессрочных фьючерсов на BTC в 2016 году, он создал новую парадигму для криптовалютных трейдеров. Хотя это не первая платформа, предлагающая обратные свопы с расчетами по BTC, BitMEX принесла удобство использования и ликвидность более широкой аудитории инвесторов. В контрактах BitMEX не использовались фиатные активы или стейблкоины, и хотя справочная цена была […]

Читать дальше
Новости DeFi

Paradigm объединяется с FTX, чтобы предложить торговлю фьючерсными спредами в один клик

Платформа криптодеривативов Paradigm собирается запустить торговлю фьючерсными спредами «в один клик» в партнерстве с FTX. Это означает, что пользователи Paradigm смогут торговать спредом между спотовыми, бессрочными и фьючерсными деривативами на ряд активов, включая биткойн, эфир, лайткойн и другие. FTX гарантирует атомарное исполнение — это означает, что сделки с участием двух разных блокчейнов рассчитываются за одну […]

Читать дальше