Хакер вывел $90 млн из протокола Mirror. Это обнаружили спустя семь месяцев

DeFi

Работающий на базе Terra DeFi-протокол Mirror стал жертвой эксплойта на сумму более $90 млн. Его обнаружил аналитик FatMan, а подтвердили специалисты фирмы по кибербезопасности BlockSec.

Для открытия короткой позиции по синтетической акции в Mirror Protocol необходимо заблокировать залог (UST, LUNA Classic и mAssets) как минимум на 14 дней. После завершения операции токены можно вывести обратно в кошелек.

Чтобы установить владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Из-за уязвимости протокол не смог заблокировать многократный вывод средств одним и тем же пользователем. В октябре 2021 года это обнаружил неизвестный, который нанес ущерб в общей сложности на $90 млн — сумма в сотни раз превысила размер заблокированного им обеспечения.

В BlockSec объяснили, что об этом стало известно только сейчас, поскольку на сайте Mirror не выводились данные о сумме внесенного пользователями залога. Другим фактором стало недостаточное внимание сообщества к анализу данных в блокчейне Terra по сравнению Ethereum и EVM-совместимыми сетями.

В мае, спустя несколько дней после коллапса Terra, разработчики Mirror Protocol устранили эксплойт. На форуме сообщества команда оставила без ответа вопрос о том, успел ли кто-то воспользоваться уязвимостью.

На днях неизвестный вывел из Mirror еще $2 млн в результате проблем с отображением котировок оракулами. Эту уязвимость обнаружил участник сообщества Mirroruser и подтвердил FatMan.

Большинство валидаторов в сети Terra Classic использовало устаревшую версию оракулов. Последние предоставляли системе данные о стоимости LUNA Classic (LUNC) по курсу 5 USTC (~$0,12), в то время как реальная цена не превышала $0,0001. В результате злоумышленник опустошил несколько пулов ликвидности (mBTC, mETH, mDOT и mGLXY).

Аналитик предупредил, что хакер может так же поступить с пулами mAsset, что приведет к накоплению безнадежного долга и коллапсу протокола. Доступ к ним приостанавили до начала предторговой сессии акциями. 

Ситуацию «спасли» выходные и празднование 30 мая в США Дня памяти, в которые фондовый рынок был закрыт.

Разработчики прислушались к советам эксперта. Они отключили использование mBTC, mETH, galaxy и mDOT в качестве залога, предотвратив «катастрофу». В результате злоумышленник потерял возможность опустошить пулы ликвидности.

Напомним, в мае FatMan заподозрил CEO Terraform Labs До Квона и венчурных капиталистов в манипулировании Mirror Protocol. 

Подписывайтесь на канал ForkLog в YouTube!

Похожие статьи
Bitcoin
Добавить комментарий