Firma BlockSec zajmująca się cyberbezpieczeństwem potwierdziła, że w zeszłym roku haker złamał protokół Mirror Protocol, któremu udało się ukraść z protokołu około 90 milionów dolarów.
Na złożonym i szybko rozwijającym się rynku, takim jak kryptowaluty, wiele rzeczy może się wydarzyć. Jeden z nich był jednym z najrzadszych odnotowanych dotychczas exploitów.
Zdecentralizowany protokół Mirror Protocol, zbudowany na starym blockchainie Terra, obecnie znanym jako Terra Classic, był wykorzystywany przez co najmniej 8 miesięcy, od października ubiegłego roku, nie generując ostrzeżenia dla programistów ani społeczności użytkowników kryptowalut.
W wątku opublikowanym przez firmę BlockSec zajmującą się cyberbezpieczeństwem firma potwierdziła, że haker wykorzystał lukę w kodzie protokołu Mirror Protocol związaną z depozytem środków w ramach protokołu.
Luka ta, zgłoszona po raz pierwszy przez użytkownika @FatManTerra, umożliwiła nieznanemu dotąd atakującemu wydobyć po cichu z protokołu prawie 90 milionów dolarów. Badacze BlockSec opublikowali adres przedmiotowego ataku.
Oprócz tego wartego milion dolarów exploita @FatManTerra poinformował również o nowej luce wykorzystanej kilka godzin temu w protokole Mirror Protocol, a spowodowanej błędem w wyroczni cenowej Luna Classic (LUNC). W exploitze, protokół stracił kolejne 2 miliony dolarów– poinformował użytkownik.
Może Cię zainteresować: LUNA 2.0 upada kilka godzin po uruchomieniu
Błąd umowy Mirror Lock
W wątku na Twitterze @FatManTerra opisał, jak nieznanemu napastnikowi udało się bez wykrycia przez kilka miesięcy wyłudzić dziesiątki milionów dolarów z protokołu Mirror Protocol.
Po pierwsze zauważył, że luka ma swoje źródło w umowie Mirror Lock, która blokuje zabezpieczenie zdeponowane przez użytkownika w protokole na okres 14 dni w przypadku krótkiej transakcji.
Jednakże kontrakt umożliwiający wywołanie funkcji odblokowania w celu odblokowania zabezpieczenia poprzez listę identyfikacyjną pozycji (ID) nie posiadał duplikatu funkcji kontrolnej ani weryfikacyjnej. Umożliwiło to atakującemu utworzenie krótkiej pozycji, a po 14 dniach wielokrotne wywołanie jej identyfikatora pozycji na jednej liście, wydobywając środki z kontraktu blokującego „w kółko niewielkim kosztem i bez ryzyka” – wyjaśnił.
Według @FatManTerra, który twierdzi, że on i jego zespół badaczy cyberbezpieczeństwa natknęli się na exploit przez czysty przypadek, twórcy Mirror Protocol niedawno dowiedzieli się o istniejącej luce i załatali ją bez informowania społeczności kryptograficznej.
Analityk zauważył, że protokół został załatany niemal równocześnie z awarią TerraUSD (UST), obecnie znanej jako USTC, na początku tego miesiąca.
Nowy hack do Mirror Protocol
Chociaż twórcy protokołu nie potwierdzili żadnych niedawnych ataków, @FatManTerra twierdzi, że Mirror Protocol był ponownie naruszone kilka godzin temu, tracąc kolejne 2 miliony dolarów.
Analityk zwrócił uwagę, że błąd w wyroczni cenowej mówi protokołowi, że LUNC jest wart około 5 UST, podczas gdy w rzeczywistości wartość tej kryptowaluty wynosi poniżej 0,00012 USD (mniej niż mikrocent).
Pule mBTC, mETH, mDOT i mGLXY w protokole Mirror Protocol zostały opróżnione, wskazał @FatManTerra, wskazując jednocześnie, że atak nasili się po otwarciu rynków, jeśli zespół programistów tego protokołu nie zainterweniuje na czas, aby skorygować wyrocznię cenową przez LUNC.
W ostatnim miesiącu płynność tego protokołu znacznie spadła. Według danych platformy DeFi Llama, Mirror Protocol utrzymuje obecnie płynność nieco ponad 100.00 dolarów.
źródło: Lama DeFi
Po przekroczeniu 2.180 miliarda dolarów płynności w dniu 10 maja, Mirror Protocol stracił w momencie publikacji ponad 99% swoich TVL.
Kontynuuj czytanie: ESET ostrzega przed schematem imitującym popularne portfele w celu kradzieży kryptowalut
