La compañía de ciberseguridad BlockSec ha confirmado que Mirror Protocol fue vulnerado el año pasado por un hacker que logró extraer unos 90 millones de dólares del protocolo de manera silenciosa.
En un mercado complejo y de rápido crecimiento como el de las criptomonedas pueden ocurrir muchas cosas. Una de ellas ha sido uno de los exploits más raros registrados hasta ahora.
El protocolo descentralizado Mirror Protocol, construido sobre la antigua blockchain Terra, ahora conocida como Terra Classic, fue explotado durante al menos 8 meses, desde el pasado mes de octubre, sin que esto generara una alerta a los desarrolladores o a la cripto comunidad de usuarios.
En un hilo publicado por la empresa de ciberseguridad BlockSec, la compañía confirmó que un hacker había explotado una vulnerabilidad en el código de Mirror Protocol, relacionada a los fondos depositados en garantía dentro del protocolo.
Dicha vulnerabilidad, informada por primera vez por el usuario @FatManTerra, le permitió al atacante, desconocido hasta la fecha, extraer cerca de 90 millones de dólares del protocolo de manera silenciosa. Los investigadores de BlockSec publicaron la dirección del ataque en cuestión.
Además de este millonario exploit, @FatManTerra también informó sobre una nueva vulnerabilidad explotada en el protocolo Mirror Protocol hace pocas horas, que fue provocada por un error en el oráculo de precios de Luna Classic (LUNC). En el exploit, el protocolo perdió otros 2 millones de dólares, informó el usuario.
Te puede interesar: LUNA 2.0 se desploma varias horas después de su lanzamiento
Error en el contrato Mirror Lock
En un hilo en Twitter, @FatManTerra describió cómo el atacante desconocido pudo extraer decenas de millones de dólares de Mirror Protocol sin ser detectado durante varios meses.
En primer lugar, señaló que la vulnerabilidad se originó en el contrato Mirror Lock, que bloquea el activo en garantía depositado por un usuario en el protocolo por un período de 14 días, cuando se opera en corto.
No obstante, el contrato, que permite llamar a una función de desbloqueo para desbloquear la garantía a través de una lista de identificación (ID) de posición, no disponía de una función de control o verificación de duplicados. Esto permitió al atacante crear una posición en corto y, después de 14 días, llamar a su ID de posición varias veces en una misma lista, extrayendo fondos del contrato de bloqueo “una y otra vez a un bajo costo y sin riesgo”, explicó.
Según @FatManTerra, que afirma que él y su equipo de investigadores de ciberseguridad dieron con el exploit por pura casualidad, los desarrolladores de Mirror Protocol se percataron hace poco de la vulnerabilidad existente y la parchearon sin informar a la cripto comunidad.
El analista señaló que el protocolo fue parcheado casi de manera simultánea a la caída que sufrió TerraUSD (UST), ahora conocida como USTC, a principios de este mes.
Un nuevo hack a Mirror Protocol
Aunque los desarrolladores del protocolo no han confirmado ningún ataque reciente, @FatManTerra asegura que Mirror Protocol fue vulnerado nuevamente hace pocas horas, perdiendo otros 2 millones de dólares.
El analista señaló que un error en el oráculo de precios está indicando al protocolo que LUNC vale alrededor de 5 UST, cuando la realidad es que el valor de esta criptomoneda está por debajo de los 0,00012 dólares (menos de un microcentavo de dólar).
Los grupos de mBTC, mETH, mDOT y mGLXY en Mirror Protocol han sido vaciados, indicó @FatManTerra, mientras señala que el ataque empeorará cuando los mercados abran, si el equipo de desarrollo de este protocolo no interviene a tiempo para corregir el oráculo de precios de LUNC.
La liquidez de este protocolo ha caído considerablemente en el último mes. De acuerdo a los datos de la plataforma DeFi Llama, Mirror Protocol mantiene poco más de 100.00 dólares en liquidez actualmente.
Después de haber superado los 2.180 millones de dólares en liquidez el pasado 10 de mayo, Mirror Protocol ha perdido más del 99% de su TVL al momento de esta edición.
Continúa leyendo: ESET avisa de un esquema que imita wallets populares para robar criptomonedas