Noong Oktubre 2021, ang DeFi application na Mirror Protocol ay sumuko sa isang $90 milyon na pagsasamantala sa lumang Terra blockchain — at ito ay ganap na hindi napansin hanggang noong nakaraang linggo.
Ang mirror protocol ay nagpapahintulot sa mga user na kumuha ng mahaba o maikling posisyon sa mga tech na stock gamit ang mga synthetic na asset. Itinayo ito sa Terra, na bumagsak noong unang bahagi ng buwang ito matapos mawala ang peg nito sa pangunahing stablecoin nito sa US dollar, na nag-drag sa kapatid nitong token na si Luna pababa kasama nito. (Ang blockchain ay muling binuhay bilang Terra 2.0, habang ang orihinal na chain ay nabubuhay bilang Terra Classic).
Ang pagsasamantala ay Natuklasan ng isang miyembro ng komunidad at analyst ng Terra na tinatawag na "FatMan." Siya ay naging isa sa mga pinaka-vocal antagonist sa kamakailang paglulunsad ng bagong Terra blockchain.
Security firm na BlockSec corroborated ang mga natuklasan ng miyembro ng komunidad sa pamamagitan ng pagsusuri sa partikular na transaksyon sa pagsasamantala. Kinumpirma ng BlockSec na may pagsasamantalang naganap.
Paano nangyari ang pagsasamantala?
Sa tuwing may gustong tumaya laban sa isang stock sa Mirror, kailangan nila lock collateral — kabilang ang UST, LUNA Classic (LUNC), at mAssets — sa loob ng minimum na 14 na araw.
Pagkatapos ng kalakalan, maaaring i-unlock ng mga user ang collateral para ilabas ang mga pondo pabalik sa wallet. Lahat ng ito ay ginawa sa tulong ng mga smart contract-generated ID number.
Gayunpaman, dahil sa buggy code, nabigo umanong suriin ang kontrata ng lock ng Mirror kapag may gumamit ng parehong ID nang higit sa isang beses upang mag-withdraw ng mga pondo.
Noong Oktubre 2021, napansin ng isang hindi kilalang entity na maaari silang gumamit ng listahan ng mga duplicate na ID para paulit-ulit na i-unlock ang daan-daang beses na mas maraming collateral kaysa sa mayroon sila. Ito ay karaniwang nangangahulugan na ang may kasalanan ay maaaring mag-withdraw ng mga pondo nang walang anumang pahintulot.
Ang entity na ito ay umubos ng humigit-kumulang $90 milyon sa kabuuan, ayon sa mga rekord ng blockchain.
Hindi napapansin sa loob ng pitong buwan
Ang pagsasamantala sa Mirror ay maaaring isa sa mga pambihirang kaganapan kung saan, sa kabila ng pagkakaroon ng on-chain na data, isang malaking hack ang nanatiling hindi isiniwalat sa mahabang panahon. Karaniwan, ang mga proyekto ay mabilis na nag-uulat ng mga kaganapan sa seguridad para sa kapakanan ng transparency.
Sinabi ng BlockSec na malamang na hindi napansin ang pagsasamantala dahil mas kaunting mga tao ang nag-scan para sa mga isyu sa Terra kumpara sa Ethereum at Ethereum-compatible na mga chain.
Bilang karagdagan, walang interface sa Mirror website na naging posible upang suriin ang kabuuang halaga ng collateral sa protocol. Ito ay naging mas mahirap na mapansin ang kahinaan nang hindi nagsasala sa isang malaking halaga ng blockchain data.
Sa unang bahagi ng buwang ito, tahimik na inayos ng mga developer ng Mirror ang kahinaan, kasabay ng pagsisimula ng pagbagsak ng UST stablecoin. Makalipas ang isang linggo pagkatapos ng patch, nagsimulang mag-isip ang mga miyembro ng komunidad kung maaaring nagkaroon ng pagsasamantala, ayon sa isang talakayan sa pamamahala. Hindi malinaw kung alam ng mga developer ng Mirror ang tungkol sa pagsasamantala.
Gayunpaman, hindi ito ang unang pagkakataon na ang isang hack ay nasa ilalim ng radar sa maikling panahon. Nang magnakaw ang mga hacker ng $600 milyon mula sa sidechain ng Ronin noong Marso 2022, lumipas ang isang linggo bago nalaman ng sinuman na nangyari ito. Noon lang nalaman ng mga user na hindi nila na-withdraw ang kanilang mga pondo, napagtanto ng sinuman na mayroong kakulangan.
Ang Mirror Protocol, na siyang paksa ng isang pagtatanong ng SEC, ay hindi pa gumagawa ng opisyal na komento sa bagay na ito. Ang koponan sa Mirror o Terraform Labs ay hindi pa tumutugon sa isang kahilingan para sa komento.
Para sa higit pang mga nakasisira na kwento tulad nito, tiyaking sundin ang The Block on kaba.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss