Een kwaadwillende gebruiker wist afgelopen oktober gebruik te maken van een fout in de code van het Mirror Protocol om 90 miljoen dollar van het platform te stelen. Alleen, het werd net ontdekt door een gewone gebruiker, en het ontwikkelingsteam kan ervan geweten hebben.
Mirror (MIR) had $90 miljoen gestolen
Het lijkt erop dat zelfs de grootste bedragen soms aan de aandacht van ontwikkelaars ontsnappen. We hebben inderdaad net vernomen dat bij Mirror (MIR), een gedecentraliseerd financieel (DeFi) protocol gebouwd op de Terra Classic (LUNC) blockchain, in oktober 2021 $90 miljoen werd gestolen.
Het Mirror-protocol stelt zijn gebruikers in staat fungibele activa te short- of longgraden op basis van hun reële waarde. Met andere woorden, het stelt gebruikers in staat om te handelen in aandelenequivalenten zoals Apple, Amazon, of Google via een orakel dat hun werkelijke prijs in de gaten houdt.
De onthulling komt van Twitter gebruiker “@FatManTerra”, bekend om zijn actieve deelname aan het Terra onderzoeksforum, vooral sinds de aankondiging van de blockchain vork. Volgens hem is de kwaadwillende erin geslaagd om grote sommen geld te stelen van veel kleinere bedragen.
Wat als ik je zou vertellen dat Mirror Protocol tot 18 dagen geleden vatbaar was voor een van de meest winstgevende exploits aller tijden, waardoor een aanvaller $4,3 miljoen kon genereren uit $10k in een enkele transactie? Hier is hoe ik dit ontdekte – door pure serendipiteit.
– FatMan (@FatManTerra) May 27, 2022
” Wat als ik je zou vertellen dat het Mirror Protocol tot 18 dagen geleden vatbaar was voor een van de meest winstgevende exploits aller tijden, waardoor een aanvaller 4,3 miljoen dollar kon genereren uit 10.000 dollar in een enkele transactie? Dit is hoe ik erachter kwam – door puur toeval. “
Wat is er gebeurd?
In grote lijnen stelt het Mirror Protocol u in staat activa te shorten door een ander activum gedurende 2 weken als onderpand te geven. Het is dus noodzakelijk om UST, LUNA Classic (LUNC) of andere cryptocurrencies te locken om te beleggen.
Zodra de transactie is voltooid, kan de gebruiker zijn onderpand terugkrijgen via een slim contractsysteem. Door een fout was de aanvaller echter in staat om deze opname enkele honderden keren te herhalen, zonder ooit extra onderpand te storten.
Het slotcontract controleerde niet of er geld van het muntcontract werd gestuurd. Dus de aanvaller opende een positie met $10 onderpand en stuurde $10.000 direct naar het slotcontract. Hij kon dan het onderpand van andere mensen doorlussen vanaf het contract. “
Het blockchain beveiligingsbedrijf BlockSec bevestigde FatMan’s beweringen via Twitter, door aan te geven dat de transacties zichtbaar waren vanuit Terra Classic’s block verkenner, en tegelijkertijd te bevestigen dat het protocol inderdaad was misbruikt.
Volgens de on-chain gegevens, stal onze aanvaller een totaal van bijna $90 miljoen. Dit is een vrij groot bedrag, dat blijkbaar nog maar net ontdekt is.
Gebruikers van het Mirror Protocol merkten op 17 mei echter op dat een patch was toegepast juist om duplicatie van deze orders te voorkomen, hetgeen aanleiding had gegeven tot speculaties dat het protocol de aanval had verhuld.
Nu de feiten zijn vastgesteld en bevestigd, is het nog maar de vraag of het team achter Mirror hiervan op de hoogte was of niet.
