Mirror Protocol، یک برنامه DeFi که بر روی بلاک چین قدیمی Terra ساخته شده بود، در اکتبر 90 مورد حمله 2021 میلیون دلاری قرار گرفت و تا هفته گذشته کاملاً کشف نشده باقی ماند. مهاجم قادر بود چندین بار قفل وثیقه را از پروتکل باز کند در حالی که هر بار فقط هزینه کمی پرداخت می کرد.
Terra's DeFi هفت ماه پیش مورد حمله قرار گرفت
یک اکسپلویت گران قیمت Terra DeFi به مدت هفت ماه تا هفته گذشته گزارش نشده بود. پروتکل Mirror که بر روی بلاک چین Terra ساخته شده است، به کاربران اجازه میدهد تا از داراییهای مصنوعی برای گرفتن موقعیتهای بلند یا کوتاه در سهام فناوری استفاده کنند.
مکانیسم عملیاتی پروتکل اما به قیمت 90 میلیون دلار هک شد. حمله زنجیره ای Terra DeFi اولین بار هفته گذشته توسط یکی از اعضای جامعه Terra و تحلیلگر به نام "FatMan" پیدا شد و اکنون توسط تحلیلگران امنیتی BlockSec تایید شده است.
اعضای جامعه کشف ضعف در کد پروتکل Mirror در 17 می، به هکر اجازه می دهد تا 90 میلیون دلار از 8 اکتبر 2021 تخلیه کند.
به گفته FatMan که می گوید: او هک را با "سرندیپیتی خالص" کشف کرد، مهاجم 89,706,164.03 دلار از پروتکل را به لطف سوء استفاده ای که به آنها اجازه می داد قفل وثیقه قرارداد قفل را "بارها و بارها با هزینه کم و ریسک صفر" باز کنند، سرقت کرد.
آمار زنجیره ای Terra Classic نشان داد که مهاجم توانسته بود وجوه UST را از پروتکل بارها در یک تراکنش با تنها 17.54 دلار در هر بار آزاد کند.
شرکت امنیتی BlockSec با مطالعه تراکنش اکسپلویت دقیق تایید شده یافته های اعضای جامعه
چگونه از آن اتفاق افتاد
کاربران باید حداقل چهارده روز وثیقه را قفل کنند تا بتوانند در مقابل یک سهام در Mirror شرط بندی کنند. ارز دیجیتال اصلی Terra، LUNA، همراه با این وثیقه (در حال حاضر LUNA Classic یا LUNC) همراه بود. mAssets و استیبل کوین UST که اکنون از بین رفته است نیز دخیل بودند.
کاربران میتوانستند قفل وثیقه را باز کنند و پس از تکمیل معامله، پول را به کیف پول خود برگردانند.
علاوه بر این، استفاده از شماره های شناسه تولید شده توسط قراردادهای هوشمند به این روش کمک کرد. با این حال، قرارداد قفل Mirror Protocol قادر به بررسی اینکه آیا یک کاربر قبلاً از همان شناسه برای برداشت وجه استفاده کرده است یا خیر، به دلیل وجود یک اشکال، ناتوان بود.
خواندن مرتبط | تایلند خود را برای اقتصاد دیجیتال آماده می کند، انتقال ارز دیجیتال را تا پایان سال 2023 از مالیات بر ارزش افزوده حذف می کند.
با این حال، ظاهراً قرارداد قفل Mirror زمانی که شخصی از همان شناسه برای برداشت وجه بارها به دلیل نقص در کد استفاده میکرد، بررسی نشد.
در اکتبر 2021، یک نهاد ناشناس کشف کرد که فهرستی از شناسههای تکراری میتواند برای باز کردن مکرر وثیقه صدها برابر بیشتر از وثیقه آنها استفاده شود. این اساساً به این معنی است که مجرم ممکن است بدون اجازه وجوه خود را برداشت کند.
یک حمله جدید
در 30 می، تنها چند روز پس از کشف، پروتکل DeFi دوباره مورد هدف قرار گرفت.
مطابق با گزارش ها، جدیدترین هک ناشی از نقصی در تنظیم اوراکلهای قیمت شرکت بود که به مهاجم اجازه میداد از اختلاف قیمت بین توکنهای LUNC قدیمی و جدید LUNA استفاده کند.
گرههای Terra نرمافزار اوراکل منسوخ را اجرا میکردند، که اجازه انجام حمله را میداد. به گفته یکی از اعضای جامعه Chainlink که این حمله را کشف کرده است، هکر بیش از 2 میلیون دلار از پروتکل سرقت کرده است.
Terra/USD پس از سقوط نزدیک به صفر تثبیت می شود. منبع: TradingView
این اولین باری نیست که یک هک برای مدت کوتاهی مورد توجه قرار نمی گیرد. در مارس 2022، هکرها 600 میلیون دلار سرقت کردند از زنجیره جانبی رونین، و یک هفته طول کشید تا هر کسی متوجه شود. تا زمانی که کاربران نبود کشف آنها نمی توانستند پول خود را برداشت کنند که کسی متوجه شد مشکلی وجود دارد.
Mirror Protocol که هست در حال بررسی است از سوی سازمان بورس و اوراق بهادار، هنوز بیانیه رسمی در مورد این وضعیت ارائه نشده است.
تیم Mirror Protocol هنوز بیانیه ای در مورد این سوء استفاده صادر نکرده است که خشم جامعه را برانگیخته است. از سوی دیگر، FatMan معتقد است که "شواهد قانع کننده" وجود دارد که هکر یک خودی بوده است.
اگرچه این اولین اکسپلویت دیفای در تاریخ نیست، اما کشف آن طولانیترین زمان را طی کرده است. Terra تحت نظارت زیادی به عنوان شمع های فشار است.
خواندن مرتبط | دیوار نه چندان بزرگ: چگونه چین در ممنوعیت استخراج بیت کوین به طرز بدی شکست خورد؟
تصویر برجسته از Shutterstock و نمودار از TradingView.com
منبع: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/