فن آوری

Devs MIA به عنوان پروتکل Mirror از یک سوء استفاده دیگر رنج می برد

05/31/2022
اخبار بیت کوین اتریوم

طبق یک موضوع توسط کاربر توییتر FatMan، پروتکل آینه بار دیگر مورد حمله قرار گرفته است. مهاجم تا کنون 2 میلیون دلار تخلیه کرده است و این رقم می تواند پس از باز شدن بازارها در روز دوشنبه بسیار بیشتر شود. تنها راه برای جلوگیری از موج حمله این است که تیم توسعه دهنده وارد عمل شود و اوراکل قیمت را برطرف کند. با این حال، تاکنون هیچ خبری از توسعه دهندگان Mirror وجود ندارد. 

باز هم یک بهره برداری آینه ای دیگر 

Mirror Protocol، یک برنامه مالی غیرمتمرکز در Terra، قربانی سوء استفاده دیگری شده است. تاکنون، میزان ضرر و زیان بیش از 2 میلیون دلار بوده است، و اگر این اشکال تا ساعت 4:00 صبح به وقت شرقی وصله نشود، تمام استخرهای آن در خطر خواهند بود. پروتکل Mirror به کاربران این امکان را می‌دهد تا از طریق دارایی‌های مصنوعی و اجرا بر روی بلاک چین قدیمی Terra، موقعیت‌های لانگ یا کوتاه در سهام فناوری را بگیرند.ترا کلاسیک). 

پس از فروپاشی استیبل کوین TerraUSD و توکن LUNA که اکنون LUNA Classic (LUNC) نامیده می شود، یک بلاک چین جدید جایگزین بلاک چین قدیمی Terra شد. با این حال، با وجود ظهور یک بلاک چین جدید، بلاک چین قدیمی Terra همچنان به کار خود ادامه می دهد. پروتکل Mirror نشان داد که استخرهای بیت کوین، اتر و پولکادوت تاکنون تخلیه شده است. 

حمله می تواند بزرگتر شود 

به گفته یکی از اعضای برجسته جامعه Terra FatMan، که همچنین در خط مقدم مخالفت با نحوه راه اندازی بلاک چین جدید Terra بود، مهاجم تاکنون بیش از 2 میلیون دلار سرقت کرده است. استخرهایی که تخلیه نشده اند به سهامی متصل هستند که در حال حاضر تا ساعت 4:00 صبح به وقت شرقی برای معامله در دسترس نیستند. هنگامی که این ها در دسترس قرار می گیرند، مهاجم می تواند از اکسپلویت برای استخرهای باقی مانده استفاده کرده و آنها را تخلیه کند. 

اصل مشکل 

مشکل از اوراکل قیمت پروتکل آینه ناشی می شود. این موضوع توسط بنیانگذار Block Pane، تاد گاریسون، فاش شد، که فاش کرد که اکثریت قابل توجهی از اعتبار سنجی گره‌ها را اجرا می‌کنند. ترا کلاسیک در حال اجرای یک نسخه قدیمی از اوراکل قیمت هستند. با تشکر از این، گره ها به Mirror Protocol می گویند که هر LUNC به جای قیمت واقعی آن، که کسری از سنت است، 5 UST ارزش دارد. 

او همانقدر در توییتر اعلام کرد، 

«لطفاً به اصلاح اوراکل قیمت LUNC توجه کنید، زیرا در مدت کوتاهی، تمام استخرهای نقدینگی تخلیه می‌شوند، Mirror بدهی‌های بد جبران‌ناپذیری به دست می‌آورد و سیستم به خودی خود فرو می‌پاشد. اکنون زمان غفلت نیست.»

به لطف تعطیلات آخر هفته و روز یادبود در ایالات متحده، این حمله بر اکثر سهام توکن شده تأثیری نداشته است. FatMan نیز همان کاربری است که باگ دیگری را در پروتکل Mirror شناسایی کرده بود. 

سوء استفاده 90 میلیون دلاری و چگونه اتفاق افتاد 

در اکتبر 2021، Mirror Protocol دچار سوء استفاده 90 میلیون دلاری شده بود که تا هفته گذشته کشف نشد، زمانی که FatMan عضو جامعه Terra و تحلیلگر آن را دید. این اکسپلویت توسط شرکت امنیتی BlockSec پس از تجزیه و تحلیل تراکنش مربوط به اکسپلویت تایید شد. 

هنگامی که شخصی در مقابل یک سهام روی پروتکل Mirror شرط بندی می کند، باید وثیقه را قفل کند. با این حال، قرارداد قفل Mirror زمانی که از همان شناسه بیش از یک بار برای برداشت وجه استفاده شده است به دلیل برخی کدهای باگ، بررسی نشد. یک نهاد مخرب در اکتبر 2021 متوجه این موضوع شد و از فهرستی از شناسه‌های تکراری برای باز کردن وثیقه‌های بسیار بیشتر از آنچه که داشتند استفاده کرد. در مجموع، این نهاد 90 میلیون دلار تخلیه کرد. 

برای ماه ها بدون توجه استفاده کنید 

این اکسپلویت به مدت هفت ماه مورد توجه قرار نگرفت، علی‌رغم وجود داده‌های زنجیره‌ای، و Mirror نتوانست این اکسپلویت را گزارش کند. BlockSec به احتمال زیاد توضیحی برای عدم توجه به این اکسپلویت ارائه کرد و گفت که کاربران کمتری در مقایسه با سایرین مانند اتریوم به دنبال مشکلات در Terra هستند. 

علاوه بر این، هیچ راهی برای بررسی میزان وثیقه بدون غربال کردن مقدار قابل توجهی از داده‌ها وجود نداشت که تشخیص آسیب‌پذیری را حتی دشوارتر می‌کرد. با این حال، توسعه‌دهندگان Mirror این آسیب‌پذیری را در همان زمانی که UST شروع به بازگشایی کرد، اصلاح کردند. هنگامی که این آسیب‌پذیری برطرف شد، جامعه شروع به تعجب کرد که آیا یک سوء استفاده وجود دارد و آیا توسعه‌دهندگان Mirror از آن اطلاع دارند یا خیر. 

نه اولین هک گزارش نشده  

این اولین بار نیست که یک هک مورد توجه قرار نمی گیرد. اگر هک زنجیره جانبی Ronin در مارس 2022 را به خاطر بیاورید، هکرها 600 میلیون دلار دزدیده بودند. این هک تا یک هفته قبل از اینکه کاربران آن را کشف کنند، مورد توجه قرار نگرفت، تنها به این دلیل که به لطف کمبود شکاف ایجاد شده توسط این اکسپلویت، نتوانستند وجوه خود را برداشت کنند. 

سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.

منبع: https://cryptodaily.co.uk/2022/05/devs-mia-as-mirror-protocol-suffers-yet-another-exploit