Ang Mirror Protocol, isang DeFi application na binuo sa lumang Terra blockchain, ay inatake ng $90 milyon na pagsasamantala noong Oktubre 2021, at nanatili itong ganap na hindi natuklasan hanggang noong nakaraang linggo. Nagawa ng attacker na i-unlock ang collateral mula sa protocol nang maraming beses habang nagbabayad lang ng kaunting bayad sa bawat pagkakataon.
Ang DeFi ni Terra ay Inatake Pitong Buwan ang Nakaraan
Ang isang mamahaling pagsasamantala sa Terra DeFi ay hindi naiulat sa loob ng pitong buwan hanggang noong nakaraang linggo. Ang Mirror Protocol, na binuo sa Terra blockchain, ay nagpapahintulot sa mga user na gumamit ng mga sintetikong asset upang kumuha ng mahaba o maikling posisyon sa mga tech na stock.
Ang mekanismo ng pagpapatakbo ng protocol, gayunpaman, ay na-hack sa halagang $90 milyon. Ang pag-atake ng Terra chain DeFi ay unang natagpuan noong nakaraang linggo ng isang miyembro ng komunidad ng Terra at analyst na pinangalanang "FatMan," at ngayon ay nakumpirma na ng mga security analyst na BlockSec.
Mga miyembro ng komunidad walang takip isang kahinaan sa code ng Mirror Protocol noong ika-17 ng Mayo, na nagpapahintulot sa isang hacker na maubos ang hanggang $90 milyon simula ika-8 ng Oktubre, 2021.
Ayon kay FatMan, na sabi ni natuklasan niya ang hack sa pamamagitan ng "pure serendipity," ninakaw ng attacker ang $89,706,164.03 mula sa protocol salamat sa isang pagsasamantala na nagpapahintulot sa kanila na i-unlock ang collateral mula sa kontrata ng lock "paulit-ulit sa maliit na gastos at walang panganib."
Ang Terra Classic na on-chain na istatistika nagsiwalat na ang umaatake ay nakapaglabas ng mga pondo ng UST mula sa protocol nang maraming beses sa loob ng parehong transaksyon sa halagang $17.54 lamang bawat pagkakataon.
Sa pamamagitan ng pag-aaral ng tumpak na transaksyon sa pagsasamantala, ang security firm na BlockSec mapag- mga natuklasan ng miyembro ng komunidad.
How It Happened
Ang mga gumagamit ay kailangang mag-lock ng collateral nang hindi bababa sa labing-apat na araw upang tumaya laban sa isang stock sa Mirror. Ang orihinal na Terra digital currency, LUNA, ay kasama sa collateral na ito (ngayon ay LUNA Classic o LUNC). Kasama rin ang mAssets at ang wala na ngayong stablecoin na UST.
Nai-unlock ng mga user ang collateral at naibalik ang pera sa kanilang mga wallet kapag nakumpleto na ang kalakalan.
Higit pa rito, ang paggamit ng mga smart contract-generated ID number ay tumulong sa pamamaraang ito. Ang kontrata ng lock ng Mirror Protocol, gayunpaman, ay hindi nasuri kung ginamit ng isang user ang parehong ID dati upang mag-withdraw ng mga pondo dahil sa pagkakaroon ng isang bug.
Mga Kaugnay na Pagbabasa | Inihanda ng Thailand ang Mismo Para sa Digital Economy, Tinatanggal ang Mga Paglipat ng Crypto Mula sa VAT Hanggang Katapusan ng 2023
Gayunpaman, ang kontrata ng lock ng Mirror ay tila nabigong suriin kapag may gumamit ng parehong ID para mag-withdraw ng mga pondo nang maraming beses dahil sa isang pagkakamali sa code.
Noong Oktubre 2021, natuklasan ng isang hindi kilalang entity na maaaring gamitin ang isang listahan ng mga duplicate na ID para paulit-ulit na i-unlock ang daan-daang beses na mas maraming collateral kaysa sa mayroon sila. Nangangahulugan ito na ang kriminal ay maaaring mag-withdraw ng mga pondo nang walang pahintulot.
Isang Bagong Pag-atake
Noong ika-30 ng Mayo, ilang araw lamang pagkatapos ng pagtuklas, muling na-target ang DeFi protocol.
Ayon sa mga ulat, ang pinakabagong hack ay na-prompt ng isang depekto sa setting ng mga orakulo ng presyo ng kumpanya, na nagbigay-daan sa umaatake na samantalahin ang pagkakaiba ng presyo sa pagitan ng lumang LUNC at bagong LUNA token.
Ang mga Terra node ay nagpapatakbo ng hindi na ginagamit na oracle software, na nagpapahintulot sa pag-atake na maganap. Ang hacker ay nagnakaw ng pataas na $2 milyon mula sa protocol, ayon sa miyembro ng komunidad ng Chainlink na nakatuklas ng pag-atake.
Ang Terra/USD ay pinagsama-sama pagkatapos ng halos zero na pag-crash. Pinagmulan: TradingView
Hindi ito ang unang pagkakataon na ang isang hack ay hindi napansin sa loob ng maikling panahon. Noong Marso 2022, ninakaw ng mga hacker ang $600 milyon mula sa sidechain ng Ronin, at umabot ng isang linggo para mapansin ng sinuman. Ito ay hindi hanggang sa mga gumagamit Natuklasan hindi nila ma-withdraw ang kanilang pera na napagtanto ng sinuman na may problema.
Mirror Protocol, na iniimbestigahan ng Securities and Exchange Commission, ay wala pang opisyal na pahayag sa sitwasyon.
Ang koponan ng Mirror Protocol ay hindi pa naglalabas ng pahayag tungkol sa pagsasamantala, na nag-udyok sa galit ng komunidad. Ang FatMan, sa kabilang banda, ay naniniwala na mayroong "nakakumbinsi na ebidensya" na ang hacker ay isang tagaloob.
Bagama't hindi ito ang unang pagsasamantala ng DeFi sa kasaysayan, ito ang pinakamatagal bago natuklasan. Si Terra ay nasa ilalim ng maraming pagsisiyasat habang tumataas ang presyon.
Mga Kaugnay na Pagbabasa | Not So Great Wall: Kung Paano Nabigo ang Tsina na Ipagbawal ang Pagmimina ng Bitcoin
Itinatampok na larawan mula sa Shutterstock at tsart mula sa TradingView.com
Pinagmulan: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/