テク

Terra上に構築されたDeFiが90万ドルのエクスプロイトに屈し、XNUMXか月間気付かれずにいた

05/31/2022
ビットコインイーサリアムニュース

古いTerraブロックチェーン上に構築されたDeFiアプリケーションであるMirror Protocolは、90年2021月にXNUMX万ドルのエクスプロイトによる攻撃を受けましたが、先週までまったく発見されませんでした。 攻撃者は、毎回少額の手数料を支払うだけで、プロトコルから担保を複数回ロック解除することができました。

TerraのDeFiがXNUMXか月前に攻撃

高額な Terra DeFi エクスプロイトは、先週まで XNUMX か月間報告されませんでした。 Terra ブロックチェーン上に構築されたミラー プロトコルを使用すると、ユーザーは合成資産を使用してハイテク株のロングまたはショート ポジションを取ることができます。

しかし、プロトコルの動作メカニズムは 90 万ドルのためにハッキングされました。 TerraチェーンDeFi攻撃は先週、Terraコミュニティのメンバーでアナリストの「FatMan」によって初めて発見され、セキュリティアナリストのBlockSecによって確認された。

コミュニティメンバー 発見 17 月 90 日にミラー プロトコルのコードに脆弱性が発見され、8 年 2021 月 XNUMX 日以降、ハッカーが最大 XNUMX 万ドルを流出させる可能性がありました。

ファットマンによれば、 言う 彼はこのハッキングを「純粋な偶然」によって発見し、攻撃者は「低コストかつゼロリスクで」ロック契約の担保を何度も解除できるエクスプロイトのおかげで、プロトコルから 89,706,164.03 ドルを盗みました。

Terra Classic のオンチェーン統計 明らかになった 攻撃者は、毎回わずか 17.54 ドルで、同じトランザクション内でプロトコルから何度も UST 資金を解放できたということです。

セキュリティ企業 BlockSec は、正確なエクスプロイトトランザクションを研究することで、 確認された コミュニティメンバーの発見。

それは起こったのか

ユーザーがミラーの株に賭けるには、担保を少なくとも XNUMX 日間ロックする必要があります。 この担保には、元の Terra デジタル通貨 LUNA が含まれていました (現在は LUNA Classic または LUNC)。 mAssets と今はなきステーブルコイン UST も関与していました。

ユーザーは、取引が完了すると担保のロックを解除し、資金をウォレットに戻すことができました。

さらに、スマート コントラクトによって生成された ID 番号の使用がこの手順を支援しました。 しかし、ミラープロトコルのロックコントラクトにはバグが存在し、ユーザーが以前に同じIDを使用して資金を引き出したかどうかを確認できませんでした。

関連レディング| タイはデジタル経済の準備を整え、2023年末までVATから暗号通貨の転送を削除します

しかし、ミラーのロックコントラクトは、コードの欠陥により、誰かが同じIDを使用して資金を何度も引き出した場合のチェックに失敗したようです。

2021 年 XNUMX 月、身元不明の実体が、重複 ID のリストを使用して、保有していた担保の何百倍もの担保のロックを繰り返し解除できることを発見しました。 これは本質的に、犯罪者が許可なく資金を引き出すことができることを意味しました。

新たな攻撃

発見からわずか数日後の30月XNUMX日、DeFiプロトコルが再び標的となった。

による レポート、 最新のハッキングは、同社の価格オラクルの設定に欠陥があったことが原因で、攻撃者は古い LUNC と新しい LUNA トークンの価格差を利用することができました。

Terra ノードでは古い Oracle ソフトウェアが実行されていたため、攻撃が行われる可能性がありました。 攻撃を発見したChainlinkコミュニティメンバーによると、ハッカーはプロトコルから2万ドル以上を盗んだという。

テラ

Terra/USD はほぼゼロの暴落の後、統合。 ソース: TradingView

短期間ハッキングが気づかれなかったのはこれが初めてではない。 2022年XNUMX月には、 ハッカーは600億ドルを盗んだ Ronin サイドチェーンからのもので、誰もが気づくまでに XNUMX 週​​間かかりました。 ユーザーになるまではそうではなかった 発見 彼らはお金を引き出すことができませんでしたが、問題があることに誰も気づきませんでした。

ミラープロトコル。 調査中 証券取引委員会はこの状況についてまだ公式声明を発表していない。

Mirror Protocol チームはまだこのエクスプロイトに関する声明を発表しておらず、コミュニティの怒りを引き起こしています。 一方、ファットマンは、ハッカーが内部関係者であったことを示す「有力な証拠」があると信じている。

これは史上初の DeFi エクスプロイトではありませんが、発見されるまでに最も時間がかかったエクスプロイトです。 圧力が高まるにつれ、Terra は多くの監視下に置かれています。

関連レディング| 万里の長城ではない:中国がビットコインマイニングの禁止にいかに惨めに失敗したか

Shutterstock の注目の画像と TradingView.com のチャート

出典: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/