Im Oktober 2021 erlag die DeFi-Anwendung Mirror Protocol einem 90-Millionen-Dollar-Exploit auf der alten Terra-Blockchain – und blieb bis letzte Woche völlig unbemerkt.
Das Mirror-Protokoll ermöglichte es Benutzern, mit synthetischen Vermögenswerten Long- oder Short-Positionen auf Technologieaktien einzugehen. Es wurde auf Terra gebaut, das Anfang dieses Monats zusammenbrach, nachdem sein wichtigster Stablecoin seine Bindung an den US-Dollar verloren hatte und seinen Schwester-Token Luna mit sich zog. (Die Blockchain wurde jetzt als Terra 2.0 wiederbelebt, während die ursprüngliche Kette als Terra Classic weiterlebt).
Der Exploit war entdeckt von einem Terra-Community-Mitglied und Analysten namens „FatMan“. Er war einer der lautstärksten Gegner bei der jüngsten Einführung der neuen Terra-Blockchain.
Sicherheitsfirma BlockSec bestätigt die Erkenntnisse des Community-Mitglieds durch Analyse der spezifischen Exploit-Transaktion. BlockSec bestätigte, dass tatsächlich ein Exploit stattgefunden hat.
Wie kam es zu dem Exploit?
Wann immer jemand gegen eine Aktie von Mirror wetten wollte, musste er das tun Sicherheiten sperren – einschließlich UST, LUNA Classic (LUNC) und mAssets – für mindestens 14 Tage.
Nach Abschluss des Handels konnten Benutzer die Sicherheiten entsperren, um die Gelder wieder in die Brieftasche freizugeben. All dies geschah mit Hilfe von Smart Contract-generierten ID-Nummern.
Aufgrund eines fehlerhaften Codes konnte der Sperrvertrag des Spiegels jedoch angeblich nicht überprüfen, ob jemand dieselbe ID mehr als einmal zum Abheben von Geldern verwendet hat.
Im Oktober 2021 bemerkte eine unbekannte Entität, dass sie eine Liste doppelter IDs verwenden konnte, um wiederholt hundertmal mehr Sicherheiten freizuschalten, als sie hatten. Dies bedeutete im Grunde, dass der Täter ohne Genehmigung Geld abheben konnte.
Diese Entität hat demnach insgesamt etwa 90 Millionen US-Dollar abgezogen Blockchain-Aufzeichnungen.
Sieben Monate lang unbemerkt
Der Mirror-Exploit ist möglicherweise eines der seltenen Ereignisse, bei denen trotz vorhandener On-Chain-Daten ein größerer Hack lange Zeit unentdeckt blieb. Normalerweise melden Projekte aus Gründen der Transparenz schnell Sicherheitsereignisse.
BlockSec sagte, dass der Exploit wahrscheinlich unbemerkt blieb, weil weniger Leute auf Terra im Vergleich zu Ethereum und Ethereum-kompatiblen Ketten nach Problemen suchten.
Darüber hinaus gab es auf der Mirror-Website keine Schnittstelle, die es ermöglichte, die Gesamthöhe der Sicherheiten im Protokoll zu überprüfen. Dies machte es viel schwieriger, die Schwachstelle zu erkennen, ohne eine große Menge an Blockchain-Daten zu sichten.
Anfang dieses Monats haben die Mirror-Entwickler die Schwachstelle stillschweigend behoben, etwa zur gleichen Zeit, als der UST-Stablecoin zu kollabieren begann. Eine Woche später nach dem Patch fragten sich Community-Mitglieder laut einer Governance-Diskussion, ob möglicherweise ein Exploit vorliegt. Es ist unklar, ob die Entwickler von Mirror von dem Exploit wussten.
Dies ist jedoch nicht das erste Mal, dass ein Hack für kurze Zeit unter dem Radar verschwindet. Als Hacker im März 600 2022 Millionen US-Dollar aus der Ronin-Sidechain stahlen, verging eine Woche, bevor irgendjemand bemerkte, dass es passiert war. Erst als die Benutzer feststellten, dass sie ihr Geld nicht abheben konnten, erkannte jemand, dass es einen Mangel gab.
Mirror Protocol, das Gegenstand einer SEC-Untersuchung ist, hat noch keinen offiziellen Kommentar zu dieser Angelegenheit abgegeben. Das Team von Mirror oder Terraform Labs hat noch nicht auf eine Anfrage nach einem Kommentar geantwortet.
Für weitere bahnbrechende Geschichten wie diese folgen Sie The Block auf Twitter.
© 2022 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-ging-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss