Secondo quanto riferito, Mirror Protocol, un'app di finanza decentralizzata sulla vecchia blockchain di Terra, ha subito un altro exploit. Il partecipante alla governance "Mirroruser" su Terra Research Forum è stato colui che ha scoperto il bug il 30 maggio.
L'exploit
Anche l'analista e informatore popolare di Terra "FatMan" ha confermato l'attacco poco dopo e ha rivelato che se la vulnerabilità non fosse stata trattata, avrebbe messo a rischio tutti i suoi pool di risorse tokenizzate. Dopo ore di ritardo, gli sviluppatori si sono finalmente fatti avanti e hanno evitato la crisi.
Tutto è iniziato con un bug nell'oracolo dei prezzi per i validatori Terra Classic che ha abilitato l'exploit. Per chi non lo sapesse, il Mirror Protocol consente essenzialmente agli utenti di creare e scambiare asset speculari, noti anche come mAsset, che "rispecchiano" o sono strettamente legati al prezzo delle azioni, come suggerisce il nome.
L'app DeFi ha le sue versioni native per Bitcoin – mBTC, Ethereum – mETH, Polkadot -mDOT, ecc., che rispecchiano da vicino i movimenti di prezzo degli asset sottostanti. Oltre a questi pool, buggy Oracle ha consentito all'attaccante di prosciugare il pool per il token che rappresenta anche il titolo Galaxy Digital – mGLXY.
Il Salva
La "causa principale", come spiegato dall'ambasciatore della comunità di Chainlink "ChainLinkGod", era che i validatori della vecchia blockchain Terra (ora chiamata Terra Classic) stavano eseguendo una versione obsoleta del software Oracle che pubblicava prezzi errati. I validatori Terra Classic riportavano il prezzo del nuovo LUNA invece del vecchio LUNC.
In un attimo, gli sviluppatori hanno risolto il problema con il feed dei prezzi LUNC. Mirror Protocol ha quindi disabilitato l'utilizzo di mBTC, mETH, mGLXY e mDOT come garanzia, il che ha impedito all'attaccante di non utilizzare più i fondi illeciti per drenare il resto dei pool.
Mentre alcuni nella comunità hanno ipotizzato se l'intero evento fosse un lavoro da insider, FatMan crede diversamente. Il suo tweet riguardante la stessa lettura,
“Sembra davvero solo una negligenza di prim'ordine, ma dato ciò che è accaduto questo mese, non puoi davvero farne a meno. Non vedo alcun motivo/prova per credere che questo sia un lavoro interno in questa fase. Fondamentalmente è un gioco su chi ha il bot più veloce".