En octubre de 2021, la aplicación DeFi Mirror Protocol sucumbió a un exploit de $ 90 millones en la antigua cadena de bloques Terra, y pasó completamente desapercibido hasta la semana pasada.
El protocolo espejo permitió a los usuarios tomar posiciones largas o cortas en acciones tecnológicas utilizando activos sintéticos. Se construyó sobre Terra, que colapsó a principios de este mes después de que su principal moneda estable perdiera su paridad con el dólar estadounidense, arrastrando consigo a su token hermano Luna. (La cadena de bloques ahora ha sido revivida como Terra 2.0, mientras que la cadena original sigue viva como Terra Classic).
La hazaña fue descubierto CRISPR por un miembro de la comunidad de Terra y analista llamado "FatMan". Ha sido uno de los antagonistas más vocales en el reciente lanzamiento de la nueva cadena de bloques Terra.
Empresa de seguridad BlockSec corroborado los hallazgos del miembro de la comunidad mediante el análisis de la transacción de explotación específica. BlockSec confirmó que efectivamente se produjo un exploit.
¿Cómo sucedió la explotación?
Cada vez que alguien quería apostar contra una acción en Mirror, tenía que garantía de bloqueo — incluidos UST, LUNA Classic (LUNC) y mAssets — durante un mínimo de 14 días.
Una vez concluida la operación, los usuarios podían desbloquear la garantía para devolver los fondos a la billetera. Todo esto se hizo con la ayuda de números de identificación generados por contratos inteligentes.
Sin embargo, debido al código defectuoso, el contrato de bloqueo de Mirror supuestamente no pudo verificar cuando alguien usó la misma identificación más de una vez para retirar fondos.
En octubre de 2021, una entidad desconocida notó que podía usar una lista de identificaciones duplicadas para desbloquear repetidamente cientos de veces más garantías de las que tenían. Básicamente, esto significaba que el perpetrador podía retirar fondos sin ninguna autorización.
Esta entidad drenó unos $90 millones en total, según registros de blockchain.
Pasar desapercibido durante siete meses
El exploit de Mirror puede ser uno de los raros eventos en los que, a pesar de la presencia de datos en la cadena, un hack importante permaneció oculto durante mucho tiempo. Por lo general, los proyectos notifican rápidamente los eventos de seguridad en aras de la transparencia.
BlockSec dijo que el exploit probablemente pasó desapercibido porque menos personas buscaban problemas en Terra en comparación con Ethereum y las cadenas compatibles con Ethereum.
Además, no había una interfaz en el sitio web de Mirror que permitiera verificar el monto total de la garantía en el protocolo. Esto hizo que fuera mucho más difícil notar la vulnerabilidad sin examinar una gran cantidad de datos de blockchain.
A principios de este mes, los desarrolladores de Mirror corrigieron silenciosamente la vulnerabilidad, aproximadamente al mismo tiempo que la moneda estable UST comenzó a colapsar. Una semana después del parche, los miembros de la comunidad comenzaron a preguntarse si podría haber un exploit, según una discusión de gobernanza. No está claro si los desarrolladores de Mirror sabían sobre el exploit.
Sin embargo, esta no es la primera vez que un hack pasa desapercibido por un corto tiempo. Cuando los piratas informáticos robaron $ 600 millones de la cadena lateral Ronin en marzo de 2022, pasó una semana antes de que alguien se diera cuenta de lo que había sucedido. Solo cuando los usuarios descubrieron que no podían retirar sus fondos, alguien se dio cuenta de que había un déficit.
Mirror Protocol, que es objeto de una investigación de la SEC, aún no ha hecho un comentario oficial sobre el asunto. El equipo de Mirror o Terraform Labs aún no ha respondido a una solicitud de comentarios.
Para obtener más historias de última hora como esta, asegúrese de seguir The Block en Twitter.
© 2022 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss