Em outubro de 2021, o aplicativo DeFi Mirror Protocol sucumbiu a uma exploração de US $ 90 milhões na antiga blockchain Terra – e passou completamente despercebida até a semana passada.
O protocolo Mirror permitiu que os usuários assumissem posições longas ou curtas em ações de tecnologia usando ativos sintéticos. Ele foi construído no Terra, que entrou em colapso no início deste mês depois que sua principal stablecoin perdeu sua atrelagem ao dólar americano, arrastando seu token irmão Luna com ele. (O blockchain agora foi revivido como Terra 2.0, enquanto a cadeia original vive como Terra Classic).
A exploração foi descoberto por um membro da comunidade Terra e analista chamado “FatMan”. Ele tem sido um dos antagonistas mais vocais no recente lançamento da nova blockchain Terra.
Empresa de segurança BlockSec corroborada as descobertas do membro da comunidade analisando a transação de exploração específica. O BlockSec confirmou que uma exploração realmente ocorreu.
Como aconteceu a exploração?
Sempre que alguém queria apostar contra uma ação no Mirror, eles tinham que bloqueio de garantia — incluindo UST, LUNA Classic (LUNC) e mAssets — por no mínimo 14 dias.
Após a conclusão da negociação, os usuários podem desbloquear a garantia para liberar os fundos de volta para a carteira. Tudo isso foi feito com a ajuda de números de identificação gerados por contratos inteligentes.
No entanto, devido ao código de buggy, o contrato de bloqueio do Mirror supostamente falhou em verificar quando alguém usou o mesmo ID mais de uma vez para sacar fundos.
Em outubro de 2021, uma entidade desconhecida notou que poderia usar uma lista de IDs duplicados para desbloquear repetidamente centenas de vezes mais garantias do que tinham. Isso basicamente significava que o perpetrador poderia retirar fundos sem qualquer autorização.
Essa entidade drenou cerca de US$ 90 milhões no total, de acordo com registros de blockchain.
Passando despercebido por sete meses
A exploração do Mirror pode ser um dos raros eventos em que, apesar da presença de dados na cadeia, um grande hack permaneceu não revelado por um longo tempo. Normalmente, os projetos são rápidos em relatar eventos de segurança por uma questão de transparência.
A BlockSec disse que a exploração provavelmente passou despercebida porque menos pessoas estavam verificando problemas no Terra em comparação com as cadeias compatíveis com Ethereum e Ethereum.
Além disso, não havia uma interface no site do Mirror que permitisse verificar o valor total das garantias no protocolo. Isso tornou muito mais difícil perceber a vulnerabilidade sem filtrar uma grande quantidade de dados de blockchain.
No início deste mês, os desenvolvedores do Mirror corrigiram silenciosamente a vulnerabilidade, na mesma época em que a stablecoin UST começou a entrar em colapso. Uma semana depois do patch, os membros da comunidade começaram a se perguntar se poderia ter havido uma exploração, de acordo com uma discussão de governança. Não está claro se os desenvolvedores do Mirror sabiam sobre o exploit.
Esta não é, no entanto, a primeira vez que um hack passa despercebido por um curto período de tempo. Quando os hackers roubaram US$ 600 milhões da sidechain Ronin em março de 2022, uma semana se passou antes que alguém percebesse o que havia acontecido. Foi somente quando os usuários descobriram que não podiam retirar seus fundos que alguém percebeu que havia um déficit.
O Mirror Protocol, que é objeto de um inquérito da SEC, ainda não fez um comentário oficial sobre o assunto. A equipe do Mirror ou do Terraform Labs ainda não respondeu a um pedido de comentário.
Para mais notícias de última hora como esta, certifique-se de seguir The Block no Twitter.
© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss