O Mirror Protocol, um aplicativo DeFi construído na antiga blockchain Terra, foi atacado por uma exploração de US$ 90 milhões em outubro de 2021 e permaneceu totalmente desconhecido até a semana passada. O invasor conseguiu desbloquear garantias do protocolo várias vezes, pagando apenas uma pequena taxa de cada vez.
DeFi da Terra atacado há sete meses
Uma exploração cara do Terra DeFi não foi relatada por sete meses até a semana passada. O Mirror Protocol, construído na blockchain Terra, permitiu que os usuários empregassem ativos sintéticos para assumir posições longas ou curtas em ações de tecnologia.
O mecanismo operacional do protocolo, no entanto, foi hackeado por US$ 90 milhões. O ataque DeFi da cadeia Terra foi encontrado pela primeira vez na semana passada por um membro e analista da comunidade Terra chamado “FatMan”, e agora foi confirmado pelos analistas de segurança BlockSec.
Membros da comunidade descoberto uma fraqueza no código do Mirror Protocol em 17 de maio, permitindo que um hacker drene até US$ 90 milhões a partir de 8 de outubro de 2021.
De acordo com FatMan, que diz ele descobriu o hack por “puro acaso”, o invasor roubou US$ 89,706,164.03 do protocolo graças a uma exploração que lhes permitiu desbloquear garantias do contrato de bloqueio “repetidamente com pouco custo e risco zero”.
As estatísticas on-chain do Terra Classic revelou que o invasor conseguiu liberar fundos da UST do protocolo muitas vezes na mesma transação por apenas US$ 17.54 cada vez.
Ao estudar a transação de exploração precisa, a empresa de segurança BlockSec confirmado as descobertas do membro da comunidade.
Como isso aconteceu
Os usuários precisam bloquear as garantias por pelo menos quatorze dias para apostar contra uma ação no Mirror. A moeda digital original do Terra, LUNA, foi incluída nesta garantia (agora LUNA Classic ou LUNC). mAssets e a agora extinta stablecoin UST também estavam envolvidos.
Os usuários conseguiram desbloquear a garantia e devolver o dinheiro às suas carteiras assim que a negociação foi concluída.
Além disso, o uso de números de identificação gerados por contratos inteligentes auxiliou esse procedimento. O contrato de bloqueio do Mirror Protocol, no entanto, não conseguia verificar se um usuário havia usado anteriormente o mesmo ID para sacar fundos devido à presença de um bug.
Leitura Relacionada | Tailândia se prepara para economia digital e remove transferências de criptomoedas do IVA até o final de 2023
No entanto, o contrato de bloqueio do Mirror aparentemente falhou em verificar quando alguém usou o mesmo ID para sacar fundos muitas vezes devido a uma falha no código.
Em outubro de 2021, uma entidade não identificada descobriu que uma lista de IDs duplicados poderia ser usada para desbloquear repetidamente centenas de vezes mais garantias do que tinham. Isso significava essencialmente que o criminoso pode retirar fundos sem permissão.
Um novo ataque
Em 30 de maio, poucos dias após a descoberta, o protocolo DeFi foi alvo novamente.
De acordo com o relatórios, o hack mais recente foi motivado por uma falha na configuração dos oráculos de preços da empresa, que permitiu ao invasor tirar proveito de uma disparidade de preços entre os antigos tokens LUNC e os novos LUNA.
Os nós do Terra estavam executando um software oracle obsoleto, o que permitiu que o ataque ocorresse. O hacker roubou mais de US$ 2 milhões do protocolo, de acordo com o membro da comunidade Chainlink que descobriu o ataque.
Terra/USD consolida após queda quase zero. Fonte: TradingView
Esta não é a primeira vez que um hack passou despercebido por um breve período de tempo. Em março de 2022, hackers roubaram $ 600 milhões do sidechain Ronin, e levou uma semana para que alguém percebesse. Não foi até que os usuários descoberto eles não podiam sacar seu dinheiro que alguém percebesse que havia um problema.
Protocolo Espelho, que é sendo investigado pela Securities and Exchange Commission, ainda não fez uma declaração oficial sobre a situação.
A equipe do Mirror Protocol ainda não emitiu uma declaração sobre a exploração, provocando indignação da comunidade. FatMan, por outro lado, acredita que há “evidências convincentes” de que o hacker era um insider.
Embora esta não seja a primeira exploração DeFi na história, é a que levou mais tempo para ser descoberta. A Terra está sob muito escrutínio à medida que a pressão aumenta.
Leitura Relacionada | Not So Great Wall: Como a China falhou miseravelmente em banir a mineração de Bitcoin
Imagem em destaque do Shutterstock e gráfico do TradingView.com
Fonte: https://bitcoinist.com/defi-built-on-terra-sucumbed-to-a-90-million/