Mirror Protocol, une application DeFi construite sur l'ancienne blockchain Terra, a été attaquée par un exploit de 90 millions de dollars en octobre 2021, et elle est restée entièrement inconnue jusqu'à la semaine dernière. L'attaquant a pu débloquer plusieurs fois des garanties du protocole tout en ne payant qu'une petite somme à chaque fois.
Le DeFi de Terra attaqué il y a sept mois
Un exploit coûteux de Terra DeFi n'a pas été signalé pendant sept mois jusqu'à la semaine dernière. Mirror Protocol, construit sur la blockchain Terra, permettait aux utilisateurs d'utiliser des actifs synthétiques pour prendre des positions longues ou courtes sur des actions technologiques.
Le mécanisme de fonctionnement du protocole, cependant, a été piraté pour 90 millions de dollars. L'attaque de la chaîne Terra DeFi a été découverte pour la première fois la semaine dernière par un membre et analyste de la communauté Terra nommé "FatMan", et a maintenant été confirmée par les analystes de sécurité BlockSec.
Membres de la communauté découvert une faiblesse dans le code du protocole miroir le 17 mai, permettant à un pirate de drainer jusqu'à 90 millions de dollars à partir du 8 octobre 2021.
Selon FatMan, qui dit il a découvert le piratage par "pur hasard", l'attaquant a volé 89,706,164.03 XNUMX XNUMX $ au protocole grâce à un exploit qui leur a permis de débloquer des garanties du contrat de verrouillage "encore et encore à peu de frais et sans risque".
Les statistiques en chaîne de Terra Classic révélé que l'attaquant a pu libérer des fonds UST du protocole plusieurs fois dans la même transaction pour seulement 17.54 $ à chaque fois.
En étudiant la transaction d'exploitation précise, la société de sécurité BlockSec confirmé les conclusions du membre de la communauté.
Comment cela s'est passé
Les utilisateurs doivent verrouiller la garantie pendant au moins quatorze jours afin de parier contre une action sur Mirror. La monnaie numérique originale de Terra, LUNA, était incluse avec cette garantie (maintenant LUNA Classic ou LUNC). mAssets et le stablecoin UST, aujourd'hui disparu, étaient également impliqués.
Les utilisateurs ont pu débloquer la garantie et remettre l'argent dans leur portefeuille une fois la transaction terminée.
De plus, l'utilisation de numéros d'identification générés par des contrats intelligents a facilité cette procédure. Le contrat de verrouillage de Mirror Protocol n'a cependant pas été en mesure de vérifier si un utilisateur avait déjà utilisé le même identifiant pour retirer des fonds en raison de la présence d'un bug.
Lecture connexe | La Thaïlande se prépare à l'économie numérique et supprime les transferts cryptographiques de la TVA jusqu'à la fin de 2023
Cependant, le contrat de verrouillage du Mirror n'a apparemment pas vérifié quand quelqu'un a utilisé le même identifiant pour retirer des fonds plusieurs fois en raison d'une erreur dans le code.
En octobre 2021, une entité non identifiée a découvert qu'une liste d'identifiants en double pouvait être utilisée pour débloquer à plusieurs reprises des centaines de fois plus de garanties qu'elle n'en avait. Cela signifiait essentiellement que le criminel pouvait retirer des fonds sans autorisation.
Une nouvelle attaque
Le 30 mai, quelques jours seulement après la découverte, le protocole DeFi a de nouveau été ciblé.
Selon rapports, le dernier piratage a été provoqué par une faille dans la configuration des oracles de prix de l'entreprise, qui a permis à l'attaquant de profiter d'une disparité de prix entre l'ancien LUNC et les nouveaux jetons LUNA.
Les nœuds Terra exécutaient un logiciel oracle obsolète, ce qui a permis à l'attaque d'avoir lieu. Le pirate informatique a volé plus de 2 millions de dollars au protocole, selon le membre de la communauté Chainlink qui a découvert l'attaque.
Terra/USD se consolide après un crash proche de zéro. La source: TradingView
Ce n'est pas la première fois qu'un piratage passe inaperçu pendant une courte période. En mars 2022, des pirates ont volé 600 millions de dollars de la chaîne latérale Ronin, et il a fallu une semaine pour que quiconque s'en aperçoive. Ce n'est que lorsque les utilisateurs découvert ils ne pouvaient pas retirer leur argent que quiconque se rendait compte qu'il y avait un problème.
Le protocole miroir, qui est en cours d'enquête par la Securities and Exchange Commission, n'a pas encore fait de déclaration officielle sur la situation.
L'équipe de Mirror Protocol n'a pas encore publié de déclaration concernant l'exploit, provoquant l'indignation de la communauté. FatMan, d'autre part, estime qu'il existe des "preuves irréfutables" que le pirate était un initié.
Bien que ce ne soit pas le premier exploit DeFi de l'histoire, c'est celui qui a mis le plus de temps à être découvert. Terra fait l'objet d'un examen minutieux alors que la pression s'accumule.
Lecture connexe | Pas si grande muraille : comment la Chine a lamentablement échoué à interdire l'exploitation minière de Bitcoin
Image sélectionnée de Shutterstock et graphique de TradingView.com
Source : https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/