Хакер вывел $90 млн из протокола Mirror. Это обнаружили спустя семь месяцев
Работающий на базе Terra DeFi-протокол Mirror стал жертвой эксплойта на сумму более $90 млн. Его обнаружил аналитик FatMan, а подтвердили специалисты фирмы по кибербезопасности BlockSec.
As pointed out by many followers (thanks very much), the attack transaction can be viewed on the ‘classic’ chain(https://t.co/9nmweKv1hC).
— BlockSec (@BlockSecTeam) May 29, 2022
We have made a clarification here:https://t.co/Sqj5jet6Ij
Для открытия короткой позиции по синтетической акции в Mirror Protocol необходимо заблокировать залог (UST, LUNA Classic и mAssets) как минимум на 14 дней. После завершения операции токены можно вывести обратно в кошелек.
Чтобы установить владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Из-за уязвимости протокол не смог заблокировать многократный вывод средств одним и тем же пользователем. В октябре 2021 года это обнаружил неизвестный, который нанес ущерб в общей сложности на $90 млн — сумма в сотни раз превысила размер заблокированного им обеспечения.
В BlockSec объяснили, что об этом стало известно только сейчас, поскольку на сайте Mirror не выводились данные о сумме внесенного пользователями залога. Другим фактором стало недостаточное внимание сообщества к анализу данных в блокчейне Terra по сравнению Ethereum и EVM-совместимыми сетями.
В мае, спустя несколько дней после коллапса Terra, разработчики Mirror Protocol устранили эксплойт. На форуме сообщества команда оставила без ответа вопрос о том, успел ли кто-то воспользоваться уязвимостью.
На днях неизвестный вывел из Mirror еще $2 млн в результате проблем с отображением котировок оракулами. Эту уязвимость обнаружил участник сообщества Mirroruser и подтвердил FatMan.
Mirror Protocol is being exploited again as we speak, and the devs are completely MIA. So far, the attacker has drained over $2m and counting — the attack will get worse when markets open tomorrow unless the dev team steps in and fixes the price oracle. @mirror_protocol (1/4)
— FatMan (@FatManTerra) May 30, 2022
Большинство валидаторов в сети Terra Classic использовало устаревшую версию оракулов. Последние предоставляли системе данные о стоимости LUNA Classic (LUNC) по курсу 5 USTC (~$0,12), в то время как реальная цена не превышала $0,0001. В результате злоумышленник опустошил несколько пулов ликвидности (mBTC, mETH, mDOT и mGLXY).
Аналитик предупредил, что хакер может так же поступить с пулами mAsset, что приведет к накоплению безнадежного долга и коллапсу протокола. Доступ к ним приостанавили до начала предторговой сессии акциями.
Ситуацию «спасли» выходные и празднование 30 мая в США Дня памяти, в которые фондовый рынок был закрыт.
Разработчики прислушались к советам эксперта. Они отключили использование mBTC, mETH, galaxy и mDOT в качестве залога, предотвратив «катастрофу». В результате злоумышленник потерял возможность опустошить пулы ликвидности.
Crisis averted — in the nick of time, Mirror disabled the usage of mBTC, mETH, mGLXY and mDOT as collateral. The attacker can no longer use his ill-gotten endowment to drain the rest of the pools. Great job @mirror_protocol — thank you! https://t.co/o64SVIRBmZ
— FatMan (@FatManTerra) May 31, 2022
Напомним, в мае FatMan заподозрил CEO Terraform Labs До Квона и венчурных капиталистов в манипулировании Mirror Protocol.
Подписывайтесь на канал ForkLog в YouTube!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!