Ekim 2021'de DeFi uygulaması Mirror Protokolü, eski Terra blok zincirinde 90 milyon dolarlık bir istismara yenik düştü ve bu durum, geçen haftaya kadar tamamen fark edilmedi.
Ayna protokolü, kullanıcıların sentetik varlıkları kullanarak teknoloji hisse senetlerinde uzun veya kısa pozisyon almasına olanak tanıdı. Bu, ana stablecoin'i ABD dolarına olan sabitlemesini kaybettikten sonra bu ayın başlarında çöken ve kardeş tokeni Luna'yı da beraberinde sürükleyen Terra üzerine inşa edildi. (Blockchain artık Terra 2.0 olarak yeniden canlandırıldı, orijinal zincir ise Terra Classic olarak varlığını sürdürüyor).
İstismar keşfetti Terra topluluğu üyesi ve "FatMan" adlı analist tarafından. Yeni Terra blok zincirinin yakın zamanda piyasaya sürülmesinde en sesli muhaliflerden biri oldu.
Güvenlik firması BlockSec doğrulanmış Belirli bir yararlanma işleminin analiz edilmesiyle topluluk üyesinin bulguları. BlockSec gerçekten de bir istismarın gerçekleştiğini doğruladı.
İstismar nasıl oldu?
Birisi Mirror'da bir hisse senedine karşı bahis oynamak istediğinde, teminatı kilitlemek — UST, LUNA Classic (LUNC) ve mAssets dahil — en az 14 gün süreyle.
Takas tamamlandıktan sonra kullanıcılar, fonları cüzdanlarına geri göndermek için teminatın kilidini açabilirler. Tüm bunlar akıllı sözleşmeyle oluşturulan kimlik numaralarının yardımıyla yapıldı.
Ancak hatalı kod nedeniyle Mirror'ın kilit sözleşmesinin, birisinin para çekmek için aynı kimliği birden fazla kez kullandığını kontrol edemediği iddia edildi.
Ekim 2021'de bilinmeyen bir kuruluş, sahip olduklarından yüzlerce kat daha fazla teminatın kilidini tekrar tekrar açmak için yinelenen kimlikler listesini kullanabileceklerini fark etti. Bu, temelde failin herhangi bir yetki olmadan para çekebileceği anlamına geliyordu.
Göre, bu kuruluş toplamda yaklaşık 90 milyon dolar harcadı. blok zinciri kayıtları.
Yedi ay boyunca farkedilmeden gidiyor
Mirror istismarı, zincirdeki verilerin varlığına rağmen büyük bir hacklemenin uzun süre açıklanmadığı ender olaylardan biri olabilir. Genellikle projeler şeffaflık adına güvenlik olaylarını hızlı bir şekilde rapor eder.
BlockSec, Ethereum ve Ethereum uyumlu zincirlere kıyasla daha az kişinin Terra'da sorun taraması yapması nedeniyle bu istismarın muhtemelen fark edilmediğini söyledi.
Ayrıca Mirror web sitesinde protokoldeki toplam teminat miktarının kontrol edilmesini sağlayacak bir arayüz yoktu. Bu, büyük miktarda blockchain verisini incelemeden güvenlik açığının fark edilmesini çok daha zorlaştırdı.
Bu ayın başlarında Mirror geliştiricileri, UST stablecoin'in çökmeye başlamasıyla hemen hemen aynı dönemde güvenlik açığını sessizce düzeltti. Yönetim tartışmasına göre, yamadan bir hafta sonra topluluk üyeleri bir istismarın olup olmadığını merak etmeye başladı. Mirror'ın geliştiricilerinin bu istismardan haberi olup olmadığı belli değil.
Ancak bu, kısa bir süreliğine radarın altına giren ilk hack olayı değil. Bilgisayar korsanları Mart 600'de Ronin yan zincirinden 2022 milyon dolar çaldığında, bunun gerçekleştiğini kimse fark edene kadar bir hafta geçti. Ancak kullanıcılar fonlarını çekemeyeceklerini anladıklarında kimse bir eksiklik olduğunu fark etti.
SEC soruşturmasına konu olan Mirror Protokolü henüz konu hakkında resmi bir yorumda bulunmadı. Mirror veya Terraform Labs ekibi henüz yorum talebine yanıt vermedi.
Bunun gibi daha fazla son dakika haberi için The Block'u takip ettiğinizden emin olun. Twitter.
© 2022 The Block Crypto, Inc. Tüm Hakları Saklıdır. Bu makale yalnızca bilgilendirme amaçlıdır. Yasal, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss