Разработчики протокола Mirror Protocol якобы скрыли крупный эксплойт, который привел к хищению десятков миллионов долларов.
@FatManTerra вернулся со свежими обвинениями в адрес протокола синтетических активов Терры Mirror. В частности, об эксплойте, связанном с контрактом блокировки Mirror.
С момента фиаско Terra, разразившегося в мае, @FatManTerra приоткрыл завесу над внутренним устройством экосистемы Terra. Откровения рисуют картину подозрительных действий.
Последние обвинения также указывают на то, что пользователи Terra были в затруднительном положении гораздо дольше, чем предполагалось ранее.
Протокол зеркала в центре внимания
Детали, распространенные в социальных сетях 26 мая, утверждают, что Mirror Protocol может быть не настолько децентрализованным, как он заявляет.
@FatManTerra опубликовал в Твиттере подробности расследования в отношении китовых кошельков Mirror, которые, как он подозревает, активно пытаются скрыть свое влияние, распространяя токены MIR по кошелькам burner.
«Я нашел доказательства того, что этот кошелек и связанные с ним кошельки очень стараются создать впечатление, что управление MIR не контролируется одним лицом — они делают это, разделяя MIR между несколькими свежими анонимными кошельками. «
Один из этих кошельков связан с генеральным директором Terraform Labs До Квоном через децентрализованную автономную организацию (DAO), в которой он является советником.
Связывая все это вместе, @FatManTerra предполагает, что это может указывать на то, что высокопоставленные лица в иерархии Terra манипулируют управлением и получают прибыль в результате.
Свежие обвинения
@FatManTerra также сообщила в твиттере подробности об эксплойте на Зеркальном протоколе, который был подключен примерно 18 дней назад, что совпало со временем, когда UST потеряла свою привязку.
Что если я скажу вам, что до 18 дней назад Mirror Protocol был подвержен одному из самых прибыльных эксплойтов всех времен, позволяющему злоумышленнику получить $4,3 млн с $10 тыс. за одну транзакцию? Вот как я это обнаружил — чисто случайно.
— FatMan (@FatManTerra) May 27, 2022
Ошибка, о которой идет речь, связана с контрактом блокировки зеркала. В обычных условиях пользователи блокируют свое обеспечение, а после 14-дневного периода хранения они могут использовать функцию разблокировки, чтобы освободить обеспечение.
До взрыва UST код, управляющий функцией разблокировки, не имел проверки на дублирование. Это означало, что злоумышленник мог неоднократно освобождать средства после 14-дневного периода блокировки.
Более того, @FatManTerra утверждает, что Mirror Protocol исправил ошибку, не сообщив сообществу Mirror о ее существовании.
Итак — эта ошибка существует и была тихо исправлена — но мы не знаем, заметил ли ее кто-нибудь или использовал раньше. Это было бы трудно проверить, поскольку вам пришлось бы просмотреть месяцы данных о цепочке и миллионы транзакций — форум Mirror не стал утруждать себя. (5/12)
— FatMan (@FatManTerra) Май 27, 2022
Дальнейшие расследования показывают, что злоумышленники использовали ошибку сотни раз с октября 2021 г.
Два кофе спустя, когда я уже собирался сдаться, я нашел это. Погодите… Что здесь происходит? Одна транзакция от октября 2021 года разблокирует одну позицию снова и снова — и она действительно исполняется. Вот транзакция: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
— FatMan (@FatManTerra) May 27, 2022
Подозрения возникли еще больше, когда один из задействованных кошельков приурочил сброс UST непосредственно перед приостановкой механизма привязки Terra.
Исследователь сообщества под ником PF92 сообщил, что через эту уязвимость было украдено не менее 88 миллионов UST.
@FatManTerra завершил твиттершторм, заявив, что он не знает, кто несет ответственность, но продолжит расследование.
Вот так, с помощью небольшой удачи и большого количества исследований, я узнал об одном из величайших и в то же время самых простых эксплойтов смарт-контрактов в истории блокчейна, который почти год оставался под радаром. Кто это сделал? Я понятия не имею, но я постараюсь это выяснить. (12/12)
— FatMan (@FatManTerra) Май 27, 2022
