2021 წლის ოქტომბერში, DeFi აპლიკაციის Mirror Protocol დაემორჩილა 90 მილიონი აშშ დოლარის ოდენობის ექსპლუატაციას ძველ Terra-ს ბლოკჩეინზე - და ის სრულიად შეუმჩნეველი დარჩა გასულ კვირამდე.
Mirror პროტოკოლი საშუალებას აძლევს მომხმარებლებს დაეკავებინათ გრძელი ან მოკლე პოზიციები ტექნიკური აქციების გამოყენებით სინთეზური აქტივების გამოყენებით. ის აშენდა Terra-ზე, რომელიც დაინგრა ამ თვის დასაწყისში მას შემდეგ, რაც მისმა მთავარმა სტაბილკოინმა დაკარგა კავშირი აშშ დოლართან, რითაც თავისი დის ტოკენი ლუნა ჩამოათრია. (ბლოკჩეინი ახლა აღდგა, როგორც Terra 2.0, ხოლო ორიგინალური ჯაჭვი მოქმედებს როგორც Terra Classic).
ექსპლუატაცია იყო აღმოაჩინეს Terra საზოგადოების წევრისა და ანალიტიკოსის მიერ, სახელად "FatMan". ის იყო ერთ-ერთი ყველაზე ვოკალური ანტაგონისტი ახალი Terra blockchain-ის ბოლო გაშვებაში.
უსაფრთხოების ფირმა BlockSec დაადასტურა თემის წევრის დასკვნები კონკრეტული ექსპლოიტის ტრანზაქციის ანალიზით. BlockSec-მა დაადასტურა, რომ ექსპლოიტი მართლაც მოხდა.
როგორ მოხდა ექსპლუატაცია?
როდესაც ვინმეს სურდა ფსონის დადება Mirror-ის აქციაზე, მას ეს უნდა გაეკეთებინა საკეტი გირაო - UST, LUNA Classic (LUNC) და mAssets ჩათვლით - მინიმუმ 14 დღის განმავლობაში.
ვაჭრობის დასრულების შემდეგ, მომხმარებლებს შეეძლოთ გირაოს განბლოკვა, რათა თანხები ისევ საფულეში გაეთავისუფლებინათ. ეს ყველაფერი გაკეთდა ჭკვიანი კონტრაქტით გენერირებული ID ნომრების დახმარებით.
თუმცა, მცდარი კოდის გამო, Mirror-ის საკეტის კონტრაქტმა, სავარაუდოდ, ვერ გადაამოწმა, როდესაც ვინმემ გამოიყენა ერთი და იგივე ID არაერთხელ თანხის გასატანად.
2021 წლის ოქტომბერში ერთმა უცნობმა სუბიექტმა შენიშნა, რომ მათ შეეძლოთ გამოეყენებინათ დუბლიკატი ID-ების სია, რათა განმეორებით განებლოკათ ასობით ჯერ მეტი გირაო, ვიდრე ჰქონდათ. ეს ძირითადად ნიშნავს, რომ დამნაშავეს შეეძლო თანხის ამოღება ყოველგვარი ნებართვის გარეშე.
ამ სუბიექტმა მთლიანობაში დაახლოებით 90 მილიონი დოლარი დაასხა ბლოკჩეინის ჩანაწერები.
შვიდი თვის განმავლობაში შეუმჩნეველი დარჩა
Mirror-ის ექსპლუატაცია შეიძლება იყოს ერთ-ერთი იშვიათი მოვლენა, სადაც, ჯაჭვზე არსებული მონაცემების არსებობის მიუხედავად, ძირითადი ჰაკი დიდი ხნის განმავლობაში გაურკვეველი რჩებოდა. ჩვეულებრივ, პროექტები სწრაფად აცნობენ უსაფრთხოების მოვლენებს გამჭვირვალობის მიზნით.
BlockSec-ის თქმით, ექსპლოიტი სავარაუდოდ შეუმჩნეველი დარჩა, რადგან ნაკლები ადამიანი ამოწმებდა საკითხებს Terra-ზე Ethereum-თან და Ethereum-თან თავსებადი ჯაჭვებთან შედარებით.
გარდა ამისა, Mirror-ის ვებსაიტზე არ იყო ინტერფეისი, რომლის საშუალებითაც შესაძლებელი იყო პროტოკოლში არსებული გირაოს მთლიანი ოდენობის შემოწმება. ამან გაცილებით გაართულა დაუცველობის შემჩნევა ბლოკჩეინის დიდი რაოდენობით მონაცემების გარჩევის გარეშე.
ამ თვის დასაწყისში, Mirror-ის დეველოპერებმა მშვიდად დააფიქსირეს დაუცველობა, დაახლოებით იმავე დროს, როდესაც UST stablecoin-მა დაიწყო კოლაფსი. პატჩის შემდეგ ერთი კვირის შემდეგ, მმართველობის დისკუსიის თანახმად, საზოგადოების წევრებმა დაიწყეს კითხვა, შეიძლებოდა თუ არა რაიმე ექსპლუატაცია. გაურკვეველია, იცოდნენ თუ არა Mirror-ის დეველოპერებმა ექსპლოიტის შესახებ.
თუმცა, ეს არ არის პირველი შემთხვევა, როდესაც ჰაკი მოკლე დროში მოხვდა რადარის ქვეშ. როდესაც ჰაკერებმა 600 წლის მარტში Ronin sidechain-დან 2022 მილიონი დოლარი მოიპარეს, ერთი კვირა გავიდა, სანამ ვინმე მიხვდებოდა, რომ ეს მოხდა. მხოლოდ მაშინ, როდესაც მომხმარებლებმა აღმოაჩინეს, რომ მათ არ შეეძლოთ თანხების გატანა, ვინმემ გააცნობიერა, რომ დეფიციტი იყო.
Mirror Protocol, რომელიც უსკოს გამოძიების საგანია, ამ საკითხზე ოფიციალური კომენტარი ჯერ არ გაუკეთებია. Mirror-ის ან Terraform Labs-ის გუნდს ჯერ არ უპასუხა კომენტარის მოთხოვნაზე.
მსგავსი სიუჟეტებისათვის, მიჰყევით ბლოკს Twitter.
© 2022 ბლოკი კრიპტო, Inc. ყველა უფლება დაცულია. ეს სტატია მოცემულია მხოლოდ ინფორმაციული მიზნებისთვის. იგი არ არის შემოთავაზებული ან გამიზნულია, როგორც სამართლებრივი, საგადასახადო, ინვესტიციის, ფინანსური ან სხვა რჩევების გამოყენება.
წყარო: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss