En octobre 2021, l'application DeFi Mirror Protocol a succombé à un exploit de 90 millions de dollars sur l'ancienne blockchain Terra - et il est passé complètement inaperçu jusqu'à la semaine dernière.
Le protocole miroir permettait aux utilisateurs de prendre des positions longues ou courtes sur des actions technologiques en utilisant des actifs synthétiques. Il a été construit sur Terra, qui s'est effondré plus tôt ce mois-ci après que son principal stablecoin ait perdu son ancrage au dollar américain, entraînant avec lui son jeton sœur Luna. (La blockchain a maintenant été relancée sous le nom de Terra 2.0, tandis que la chaîne d'origine vit sous le nom de Terra Classic).
L'exploit était découvert par un membre de la communauté Terra et analyste appelé "FatMan". Il a été l'un des antagonistes les plus virulents lors du récent lancement de la nouvelle blockchain Terra.
Société de sécurité BlockSec corroborés les conclusions du membre de la communauté en analysant la transaction d'exploit spécifique. BlockSec a confirmé qu'un exploit avait bien eu lieu.
Comment l'exploit s'est-il produit ?
Chaque fois que quelqu'un voulait parier contre une action sur Mirror, il devait verrouiller la garantie — y compris UST, LUNA Classic (LUNC) et mAssets — pour un minimum de 14 jours.
Une fois la transaction terminée, les utilisateurs pouvaient débloquer la garantie pour remettre les fonds dans le portefeuille. Tout cela a été fait à l'aide de numéros d'identification générés par des contrats intelligents.
Cependant, en raison d'un code bogué, le contrat de verrouillage du Mirror n'aurait pas réussi à vérifier quand quelqu'un a utilisé le même identifiant plus d'une fois pour retirer des fonds.
En octobre 2021, une entité inconnue a remarqué qu'elle pouvait utiliser une liste d'identifiants en double pour déverrouiller à plusieurs reprises des centaines de fois plus de garanties qu'elle n'en avait. Cela signifiait essentiellement que l'auteur pouvait retirer des fonds sans aucune autorisation.
Cette entité a drainé environ 90 millions de dollars au total, selon enregistrements de blockchain.
Passé inaperçu pendant sept mois
L'exploit Mirror est peut-être l'un des rares événements où, malgré la présence de données en chaîne, un piratage majeur est resté longtemps non divulgué. Habituellement, les projets signalent rapidement les événements de sécurité dans un souci de transparence.
BlockSec a déclaré que l'exploit est probablement passé inaperçu car moins de personnes recherchaient des problèmes sur Terra par rapport aux chaînes compatibles avec Ethereum et Ethereum.
De plus, il n'y avait pas d'interface sur le site Mirror permettant de vérifier le montant total des garanties dans le protocole. Il était donc beaucoup plus difficile de remarquer la vulnérabilité sans passer au crible une grande quantité de données blockchain.
Plus tôt ce mois-ci, les développeurs de Mirror ont discrètement corrigé la vulnérabilité, à peu près au même moment où le stablecoin UST commençait à s'effondrer. Une semaine plus tard après le patch, les membres de la communauté ont commencé à se demander s'il aurait pu y avoir un exploit, selon une discussion sur la gouvernance. On ne sait pas si les développeurs de Mirror étaient au courant de l'exploit.
Ce n'est cependant pas la première fois qu'un piratage passe sous le radar pendant une courte période. Lorsque des pirates ont volé 600 millions de dollars à la sidechain Ronin en mars 2022, une semaine s'est écoulée avant que quiconque ne se rende compte que cela s'était produit. Ce n'est que lorsque les utilisateurs se sont rendu compte qu'ils ne pouvaient pas retirer leurs fonds que quelqu'un s'est rendu compte qu'il y avait un manque à gagner.
Mirror Protocol, qui fait l'objet d'une enquête de la SEC, n'a pas encore fait de commentaire officiel à ce sujet. L'équipe de Mirror ou Terraform Labs n'a pas encore répondu à une demande de commentaire.
Pour plus d'histoires marquantes comme celle-ci, assurez-vous de suivre The Block sur Twitter.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss