Mirror Protocol, un'applicazione DeFi costruita sulla vecchia blockchain Terra, è stata attaccata da un exploit da 90 milioni di dollari nell'ottobre 2021 ed è rimasta del tutto sconosciuta fino alla scorsa settimana. L'attaccante è stato in grado di sbloccare il collaterale dal protocollo più volte pagando solo una piccola commissione ogni volta.
La DeFi di Terra ha attaccato sette mesi fa
Un costoso exploit Terra DeFi non è stato segnalato per sette mesi fino alla scorsa settimana. Mirror Protocol, costruito sulla blockchain Terra, ha consentito agli utenti di utilizzare risorse sintetiche per assumere posizioni lunghe o corte in titoli tecnologici.
Il meccanismo operativo del protocollo, tuttavia, è stato violato per 90 milioni di dollari. L'attacco DeFi della catena Terra è stato rilevato per la prima volta la scorsa settimana da un membro della comunità e analista Terra chiamato "FatMan" ed è stato ora confermato dagli analisti della sicurezza BlockSec.
I membri della community hanno scoperto un punto debole nel codice del Mirror Protocol il 17 maggio, consentendo a un hacker di prosciugare fino a $ 90 milioni a partire dall'8 ottobre 2021.
Secondo FatMan, che afferma di aver scoperto l'hacking per "pura serendipità", l'attaccante ha rubato $ 89.706.164,03 dal protocollo grazie a un exploit che ha permesso loro di sbloccare il collaterale del contratto di blocco "più e più volte a basso costo e zero rischi".
Le statistiche sulla catena di Terra Classic hanno rivelato che l'attaccante è stato in grado di rilasciare fondi UST dal protocollo molte volte all'interno della stessa transazione per soli $ 17,54 ogni volta.
Studiando l'esatta transazione di exploit, la società di sicurezza BlockSec ha confermato le scoperte del membro della comunità.
Come è successo
Gli utenti devono bloccare la garanzia per almeno quattordici giorni per scommettere contro un titolo su Mirror. La valuta digitale originale di Terra, LUNA, è stata inclusa in questa garanzia (ora LUNA Classic o LUNC). Sono stati coinvolti anche masset e l'ormai defunta stablecoin UST.
Gli utenti sono stati in grado di sbloccare la garanzia e restituire i soldi ai loro portafogli una volta completata l'operazione.
Inoltre, l'uso di numeri ID generati da smart contract ha aiutato questa procedura. Il contratto di blocco di Mirror Protocol, tuttavia, non è stato in grado di verificare se un utente avesse precedentemente utilizzato lo stesso ID per prelevare fondi a causa della presenza di un bug.
Lettura correlata | La Thailandia si prepara per l'economia digitale, rimuove i trasferimenti di criptovalute dall'IVA fino alla fine del 2023
Tuttavia, il contratto di blocco del Mirror apparentemente non è riuscito a verificare quando qualcuno ha utilizzato lo stesso ID per prelevare fondi molte volte a causa di un errore nel codice.
Nell'ottobre 2021, un'entità non identificata ha scoperto che un elenco di ID duplicati poteva essere utilizzato per sbloccare ripetutamente centinaia di volte più garanzie rispetto a quelle che avevano. Ciò significava essenzialmente che il criminale può prelevare fondi senza autorizzazione.
Un nuovo attacco
Il 30 maggio, a pochi giorni dalla scoperta, il protocollo DeFi è stato nuovamente preso di mira.
Secondo i rapporti, l'ultimo hack è stato provocato da un difetto nell'impostazione degli oracoli dei prezzi dell'azienda, che ha permesso all'attaccante di sfruttare una disparità di prezzo tra il vecchio LUNC e i nuovi token LUNA.
I nodi Terra eseguivano un software Oracle obsoleto, che consentiva l'attacco. L'hacker ha rubato oltre 2 milioni di dollari dal protocollo, secondo il membro della comunità di Chainlink che ha scoperto l'attacco.
Terra/USD si consolida dopo un crollo vicino allo zero. Fonte: TradingView
Questa non è la prima volta che un hack passa inosservato per un breve periodo di tempo. Nel marzo 2022, gli hacker hanno rubato 600 milioni di dollari dalla sidechain Ronin e ci è voluta una settimana prima che qualcuno se ne accorgesse. È stato solo quando gli utenti hanno scoperto che non potevano prelevare i loro soldi che qualcuno si è reso conto che c'era un problema.
Mirror Protocol, oggetto di indagine da parte della Securities and Exchange Commission, non ha ancora rilasciato una dichiarazione ufficiale sulla situazione.
Il team Mirror Protocol non ha ancora rilasciato una dichiarazione in merito all'exploit, provocando indignazione da parte della comunità. FatMan, d'altra parte, crede che ci siano "prove convincenti" che l'hacker fosse un insider.
Anche se questo non è il primo exploit DeFi nella storia, è quello che ha impiegato più tempo per essere scoperto. La Terra è molto esaminata mentre la pressione aumenta.
Lettura correlata | Non così grande muraglia: come la Cina non è riuscita miseramente a vietare il mining di bitcoin
Immagine in evidenza da Shutterstock e grafico da TradingView.com