Mirror Protocol, una aplicación DeFi construida sobre la antigua cadena de bloques Terra, fue atacada por un exploit de $ 90 millones en octubre de 2021, y permaneció completamente sin descubrir hasta la semana pasada. El atacante pudo desbloquear la garantía del protocolo varias veces y solo pagó una pequeña tarifa cada vez.
El DeFi de Terra fue atacado hace siete meses
Un costoso exploit de Terra DeFi no se informó durante siete meses hasta la semana pasada. Mirror Protocol, basado en la cadena de bloques Terra, permitió a los usuarios emplear activos sintéticos para tomar posiciones largas o cortas en acciones tecnológicas.
Sin embargo, el mecanismo operativo del protocolo fue pirateado por 90 millones de dólares. El ataque DeFi de la cadena Terra fue descubierto por primera vez la semana pasada por un analista y miembro de la comunidad Terra llamado "FatMan", y ahora ha sido confirmado por los analistas de seguridad BlockSec.
Miembros de la comunidad descubierto una debilidad en el código de Mirror Protocol el 17 de mayo, lo que permitió a un pirata informático drenar hasta $ 90 millones a partir del 8 de octubre de 2021.
Según FatMan, quien dice descubrió el hack por "pura casualidad", el atacante robó $ 89,706,164.03 del protocolo gracias a un exploit que les permitió desbloquear garantías del contrato de bloqueo "una y otra vez a un costo bajo y sin riesgo".
Las estadísticas en cadena de Terra Classic revelado que el atacante pudo liberar fondos UST del protocolo muchas veces dentro de la misma transacción por solo $ 17.54 cada vez.
Al estudiar la transacción de explotación precisa, la empresa de seguridad BlockSec confirmado los hallazgos de los miembros de la comunidad.
Cómo pasó
Los usuarios deben bloquear la garantía durante al menos catorce días para poder apostar contra una acción en Mirror. La moneda digital original de Terra, LUNA, se incluyó con esta garantía (ahora LUNA Classic o LUNC). mAssets y la ya desaparecida moneda estable UST también estuvieron involucradas.
Los usuarios pudieron desbloquear la garantía y devolver el dinero a sus billeteras una vez que se completó la operación.
Además, el uso de números de identificación generados por contratos inteligentes ayudó en este procedimiento. Sin embargo, el contrato de bloqueo de Mirror Protocol no pudo verificar si un usuario había usado previamente la misma identificación para retirar fondos debido a la presencia de un error.
Lectura relacionada | Tailandia se prepara para la economía digital, elimina las transferencias criptográficas del IVA hasta finales de 2023
Sin embargo, el contrato de bloqueo de Mirror aparentemente no pudo verificar cuando alguien usó la misma identificación para retirar fondos muchas veces debido a una falla en el código.
En octubre de 2021, una entidad no identificada descubrió que se podía usar una lista de identificaciones duplicadas para desbloquear repetidamente cientos de veces más garantías de las que tenían. Básicamente, esto significaba que el delincuente podía retirar fondos sin permiso.
Un nuevo ataque
El 30 de mayo, solo unos días después del descubrimiento, el protocolo DeFi fue atacado nuevamente.
Según la informes, el hack más reciente fue provocado por una falla en la configuración de los oráculos de precios de la compañía, lo que permitió al atacante aprovechar la disparidad de precios entre los tokens LUNC antiguos y los nuevos LUNA.
Los nodos de Terra estaban ejecutando un software de Oracle obsoleto, lo que permitió que se llevara a cabo el ataque. El hacker robó más de $2 millones del protocolo, según el miembro de la comunidad de Chainlink que descubrió el ataque.
Terra/USD se consolida después de una caída cercana a cero. Fuente: TradingView
Esta no es la primera vez que un hack pasa desapercibido por un breve período de tiempo. En marzo de 2022, los piratas informáticos robaron $ 600 millones de la cadena lateral de Ronin, y tomó una semana para que alguien lo notara. No fue hasta que los usuarios descubierto CRISPR no podían retirar su dinero que nadie se dio cuenta de que había un problema.
Protocolo espejo, que es siendo investigado por la Comisión de Bolsa y Valores, aún tiene que hacer una declaración oficial sobre la situación.
El equipo de Mirror Protocol aún no ha emitido una declaración sobre el exploit, lo que provocó la indignación de la comunidad. FatMan, por otro lado, cree que hay "evidencia convincente" de que el hacker era un infiltrado.
Si bien este no es el primer exploit de DeFi en la historia, es el que ha tardado más en descubrirse. Terra está bajo mucho escrutinio a medida que aumenta la presión.
Lectura relacionada | No tan gran muro: cómo China fracasó miserablemente en prohibir la minería de Bitcoin
Imagen destacada de Shutterstock y gráfico de TradingView.com
Fuente: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/