В октябре 2021 года приложение DeFi, Mirror Protocol стало жертвой эксплойта стоимостью 90 миллионов долларов в старом блокчейне Terra и до прошлой недели это оставалось совершенно незамеченным.
Mirror протокол позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на Terra, которая рухнула в начале этого месяца после того, как ее основной стейблкоин потерял привязку к доллару США, потащив за собой родственный токен Luna. (Блокчейн теперь возрожден как Terra 2.0, а исходная цепочка живет как Terra Classic).
Эксплойт был обнаружен членом сообщества Terra и аналитиком по имени FatMan. Он был одним из самых ярых противников недавнего запуска нового блокчейна Terra.
Охранная фирма BlockSec подтвердила выводы члена сообщества, проанализировав конкретную транзакцию эксплойта. BlockSec подтвердил, что эксплойт действительно имел место.
Как произошел эксплойт?
Всякий раз, когда кто-то хотел сделать ставку на акцию на Mirror, он должен был заблокировать обеспечение , включая UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней.
После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно в кошелек. Все это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом.
Однако из-за глючного кода контракт блокировки Mirror якобы не проверял, когда кто-то использовал один и тот же идентификатор более одного раза для вывода средств.
В октябре 2021 года одна неизвестная организация заметила, что они могут использовать список повторяющихся идентификаторов, чтобы многократно разблокировать в сотни раз больше залога, чем у них было. По сути, это означало, что преступник мог снимать средства без какого-либо разрешения.
Согласно записям блокчейна, эта организация в общей сложности вывела около 90 миллионов долларов.
Оставаться незамеченным в течение семи месяцев
Эксплойт Mirror может быть одним из редких событий, когда, несмотря на наличие данных в сети, крупный взлом долгое время оставался нераскрытым. Обычно проекты быстро сообщают о событиях безопасности ради прозрачности.
BlockSec заявила, что эксплойт, вероятно, остался незамеченным, потому что меньше людей сканировали Terra на наличие проблем по сравнению с Ethereum и Ethereum-совместимыми цепочками.
Кроме того, на сайте «Mirror» отсутствовал интерфейс, позволяющий проверить общую сумму залога в протоколе. Это значительно усложнило обнаружение уязвимости без просеивания большого количества данных блокчейна.
Ранее в этом месяце разработчики Mirror незаметно исправили уязвимость примерно в то же время, когда стейблкоин UST начал рушиться. Через неделю после исправления члены сообщества начали задаваться вопросом, мог ли быть эксплойт, согласно обсуждению руководства. Неясно, знали ли разработчики Mirror об эксплойте.
Однако это не первый случай, когда взлом на короткое время остается незамеченным. Когда хакеры украли 600 миллионов долларов из сайдчейна Ronin в марте 2022 года, прошла неделя, прежде чем кто-либо понял, что это произошло. Только когда пользователи обнаружили, что они не могут вывести свои средства, кто-то понял, что возникла нехватка средств.
Mirror Protocol, являющийся предметом расследования Комиссии по ценным бумагам и биржам США, пока не дал официального комментария по этому поводу. Команда Mirror или Terraform Labs еще не ответила на запрос о комментариях.
