2021年90月、DeFiアプリケーションのミラープロトコルは古いTerraブロックチェーンでXNUMX千万ドルのエクスプロイトに屈し、先週まで完全に見過ごされていました。
ミラープロトコルにより、ユーザーは合成資産を使用してハイテク株のロングポジションまたはショートポジションを取ることができました。 それは、メインのステーブルコインが米ドルへのペッグを失い、姉妹トークンのルナを引きずり下ろした後、今月初めに崩壊したテラの上に建てられました。 (ブロックチェーンはTerra 2.0として復活しましたが、元のチェーンはTerra Classicとして存続しています)。
エクスプロイトは 発見 Terra コミュニティのメンバー兼アナリストである「FatMan」によるものです。 彼は、最近の新しい Terra ブロックチェーンの立ち上げにおいて最も声高に反対している人物の XNUMX 人です。
セキュリティ会社BlockSec corroborated 特定のエクスプロイトトランザクションを分析することによるコミュニティメンバーの調査結果。 BlockSecは、エクスプロイトが実際に行われたことを確認しました。
エクスプロイトはどのように発生しましたか?
誰かがミラーの株に賭けたいときはいつでも、彼らはしなければなりませんでした 担保をロックする — UST、LUNAクラシック(LUNC)、およびmAssetを含む—最低14日間。
取引が終了した後、ユーザーは担保のロックを解除して、資金をウォレットに戻すことができます。 これはすべて、スマートコントラクトによって生成されたID番号の助けを借りて行われました。
ただし、コードにバグがあるため、ミラーのロック契約では、誰かが同じIDを複数回使用して資金を引き出した場合の確認に失敗したとされています。
2021年XNUMX月、ある未知のエンティティが、重複するIDのリストを使用して、所有していた数百倍の担保を繰り返しロック解除できることに気づきました。 これは基本的に、実行者が許可なく資金を引き出すことができることを意味しました。
によると、このエンティティは合計で約90万ドルを排出しました ブロックチェーンレコード.
XNUMXヶ月間見過ごされている
ミラーエクスプロイトは、オンチェーンデータが存在するにもかかわらず、主要なハッキングが長期間公開されないままであったまれなイベントのXNUMXつである可能性があります。 通常、プロジェクトは透明性を確保するためにセキュリティイベントをすばやく報告します。
BlockSecは、EthereumおよびEthereum互換チェーンと比較して、Terraで問題をスキャンしている人が少なかったため、エクスプロイトが見過ごされた可能性が高いと述べました。
さらに、ミラーのWebサイトには、プロトコルの担保の合計額を確認できるインターフェイスがありませんでした。 これにより、大量のブロックチェーンデータを選別せずに脆弱性に気付くことがはるかに困難になりました。
今月初め、UST ステーブルコインの崩壊が始まったのとほぼ同時に、Mirror 開発者はひそかにこの脆弱性を修正しました。 ガバナンスに関するディスカッションによると、パッチ適用から XNUMX 週間後、コミュニティのメンバーはエクスプロイトがあったのではないかと疑問を持ち始めました。 Mirror の開発者がこのエクスプロイトについて知っていたかどうかは不明です。
ただし、ハッキングが短期間でレーダーの下に置かれたのはこれが初めてではありません。 600年2022月にハッカーがRoninサイドチェーンからXNUMX億ドルを盗んだとき、誰かがそれが起こったことに気付く前にXNUMX週間が過ぎました。 ユーザーが自分の資金を引き出すことができないことに気付いたときだけ、誰もが不足していることに気づきました。
SECの調査対象となっているミラー・プロトコルは、この件に関してまだ公式コメントを出していない。 Mirror LabsやTerraform Labsのチームはコメント要請にまだ応じていない。
このような最新のストーリーについては、ブロックをフォローしてください Twitter.
©2022 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
ソース:https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source = rss&utm_medium = rss