La société de cybersécurité BlockSec a confirmé que Mirror Protocol avait été compromis l'année dernière par un pirate informatique qui a réussi à voler environ 90 millions de dollars au protocole.
Dans un marché complexe et en croissance rapide comme celui des crypto-monnaies, beaucoup de choses peuvent arriver. L’un d’eux constitue l’un des exploits les plus rares enregistrés jusqu’à présent.
Le protocole décentralisé Mirror Protocol, construit sur l'ancienne blockchain Terra, désormais connue sous le nom de Terra Classic, a été exploité pendant au moins 8 mois, depuis octobre dernier, sans que cela ne génère d'alerte auprès des développeurs ou de la communauté crypto des utilisateurs.
Dans un fil de discussion publié par la société de cybersécurité BlockSec, la société a confirmé qu'un pirate informatique avait exploité une vulnérabilité dans le code du Mirror Protocol, liée au séquestre des fonds au sein du protocole.
Cette vulnérabilité, signalée pour la première fois par l'utilisateur @FatManTerra, a permis à l'attaquant, inconnu à ce jour, extraire silencieusement près de 90 millions de dollars du protocole. Les chercheurs de BlockSec ont publié l'adresse de l'attaque en question.
En plus de cet exploit d'un million de dollars, @FatManTerra a également signalé il y a quelques heures une nouvelle vulnérabilité exploitée dans le protocole Mirror, causée par un bug dans l'oracle des prix Luna Classic (LUNC). Dans l'exploit, le protocole a perdu encore 2 millions de dollars, a rapporté l'utilisateur.
Il peut vous intéresser: LUNA 2.0 s'effondre plusieurs heures après son lancement
Erreur de contrat Mirror Lock
Dans un fil de discussion sur Twitter, @FatManTerra a décrit comment l'attaquant inconnu a réussi à siphonner des dizaines de millions de dollars du protocole Mirror sans être détecté pendant plusieurs mois.
Premièrement, il a noté que la vulnérabilité provenait du contrat Mirror Lock, qui verrouille l'actif collatéral déposé par un utilisateur dans le protocole pendant une période de 14 jours, lors de transactions à découvert.
Cependant, le contrat, qui permet d'appeler une fonction de déverrouillage pour déverrouiller la garantie via une liste d'identification de position (ID), ne comportait pas de fonction de contrôle ou de vérification en double. Cela a permis à l'attaquant de créer une position courte et, après 14 jours, d'appeler son identifiant de position plusieurs fois dans une seule liste, extrayant ainsi des fonds du contrat de blocage « encore et encore, à faible coût et sans risque », a-t-il expliqué.
Selon @FatManTerra, qui affirme que lui et son équipe de chercheurs en cybersécurité sont tombés sur l'exploit par pur hasard, les développeurs de Mirror Protocol ont récemment pris conscience de la vulnérabilité existante et l'ont corrigée sans en informer la communauté crypto.
L'analyste a noté que le protocole avait été corrigé presque simultanément avec le crash subi par TerraUSD (UST), désormais connu sous le nom d'USTC, au début du mois.
Un nouveau hack pour Mirror Protocol
Bien que les développeurs du protocole n'aient confirmé aucune attaque récente, @FatManTerra affirme que Mirror Protocol était violé à nouveau il y a quelques heures, perdant encore 2 millions de dollars.
L'analyste a souligné qu'une erreur dans l'oracle des prix indique au protocole que LUNC vaut environ 5 UST, alors que la réalité est que la valeur de cette crypto-monnaie est inférieure à 0,00012 $ (moins d'un microcent).
Les pools mBTC, mETH, mDOT et mGLXY sur Mirror Protocol ont été vidés, a indiqué @FatManTerra, tout en soulignant que l'attaque s'aggravera à l'ouverture des marchés, si l'équipe de développement de ce protocole n'intervient pas à temps pour corriger l'oracle des prix par LUNC.
La liquidité de ce protocole a considérablement diminué le mois dernier. Selon les données de la plateforme DeFi Llama, Mirror Protocol maintient actuellement un peu plus de 100.00 $ de liquidités.
source: Lama DeFi
Après avoir dépassé 2.180 milliards de dollars de liquidités le 10 mai, Mirror Protocol a perdu plus de 99 % de sa TVL au moment de la publication.
Continuer la lecture: ESET met en garde contre un système imitant les portefeuilles populaires pour voler des crypto-monnaies
