上周,一名Terra社区成员意外发现了一个被忽视了7个月的DeFi漏洞,并得到了BlockSec安全分析师的证实。2021年10月,DeFi应用镜像协议在老特拉区块链遭受了9000万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,Mirror Protocol允许用户使用合成资产对科技股做多或做空。
镜像协议建立在Terra区块链之上,但在TerraUSD(UST)稳定货币失去了与美元的联系后,它的姐妹令牌Luna在本月早些时候被拖到几乎为零。
经过几周的混乱,社区用硬叉投票支持Terra 2.0,以消除影响,而原来的连锁则改名为Terra Classic。
这篇文章中提到的漏洞是由Terra社区的成员和分析师“FatMan”揭露的。他也是最新的Terra 2.0区块链最直言不讳的反对者之一。
与此同时,安全公司BlockSec通过分析具体的漏洞利用交易证实了FatMan的发现。
可以知道,每当有人想做空Mirror时,他们必须锁定包括ust、LUNA Classic(LUNC)和mAssets在内的抵押品至少14天。
交易完成后,用户可以解锁抵押物,将资产释放回钱包,所有相关操作都是借助智能合约生成的身份证号完成的。
但由于代码中的一个Bug,有报道称Mirror的锁定契约在有人多次使用同一个ID提取资金时未能进行检查。
于是在2021年10月,一个未知的实体发现了这个漏洞,并利用它通过使用重复的ID列表重复解锁了数百次抵押品3354。基本上是指行为人可以在没有任何授权的情况下提取资金。
随后的区块链记录显示,该实体总共窃取了约9000万美元。然而更让人感到无语的是,这个漏洞直到7个月后才被曝光。
一般为了透明,项目开发者会第一时间将安全事件——告知公众,即使类似镜像协议漏洞的事件相当罕见。
SEC指出:与ETH和兼容的区块链相比,在Terra上扫描相关问题的人更少,因此该漏洞并没有被公众知晓很长时间。
此外,镜像网站上没有查看协议中担保物总额的界面,在没有筛选大量区块链数据的情况下,更难发现相关漏洞。
本月早些时候,大约在UST稳定货币开始崩溃的同时,镜像开发者悄悄地修复了这个漏洞。补丁3354发布一周后,社区成员开始怀疑是否存在漏洞。
当然,这不是黑客第一次盯上加密货币的区块链协议。例如,2022年3月,黑客从Ronin的侧链中窃取了6亿美元后一周,无法提取资金的人意识到发生了不好的事情。
最后,受到美国证券交易委员会(SEC)调查的Mirror Protocol至今未对此事做出官方评论。
Block向Mirror/Terraform Labs团队发出了评论请求,但截至记者发稿时,他们都没有发表评论。
