В октябре 2021 года приложение DeFi, Mirror Protocol стало жертвой эксплойта стоимостью 90 миллионов долларов в старом блокчейне Terra и до прошлой недели это оставалось совершенно незамеченным. Mirror протокол позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на Terra, которая рухнула в начале этого месяца после того, как ее основной стейблкоин потерял привязку к доллару США, потащив за собой родственный токен Luna. (Блокчейн теперь возрожден как Terra 2.0, а исходная цепочка живет как Terra Classic). Эксплойт был обнаружен членом сообщества Terra и аналитиком по имени FatMan. Он был одним из самых ярых противников недавнего запуска нового блокчейна Terra. Охранная фирма BlockSec подтвердила выводы члена сообщества, проанализировав конкретную транзакцию эксплойта. BlockSec подтвердил, что эксплойт действительно имел место. Как произошел эксплойт? Всякий раз, когда кто-то хотел сделать ставку на акцию на Mirror, он должен был заблокировать обеспечение , включая UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней. После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно в кошелек. Все это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом. Однако из-за глючного кода контракт блокировки Mirror якобы не проверял, когда кто-то использовал один и тот же идентификатор более одного раза для вывода средств. В октябре 2021 года одна неизвестная организация заметила, что они могут использовать список повторяющихся идентификаторов, чтобы многократно разблокировать в сотни раз больше залога, чем у них было. По сути, это означало, что преступник мог снимать средства без какого-либо разрешения. Согласно записям блокчейна, эта организация в общей сложности вывела около 90 миллионов долларов. Оставаться незамеченным в течение семи месяцев Эксплойт Mirror может быть одним из редких событий, когда, несмотря на наличие данных в сети, крупный взлом долгое время оставался нераскрытым. Обычно проекты быстро сообщают о событиях безопасности ради прозрачности.
Источник: