طبق یک موضوع توسط کاربر توییتر FatMan، پروتکل آینه بار دیگر مورد حمله قرار گرفته است. مهاجم تا کنون 2 میلیون دلار تخلیه کرده است و این رقم می تواند پس از باز شدن بازارها در روز دوشنبه بسیار بیشتر شود. تنها راه برای جلوگیری از موج حمله این است که تیم توسعه دهنده وارد عمل شود و اوراکل قیمت را برطرف کند. با این حال، تاکنون هیچ خبری از توسعه دهندگان Mirror وجود ندارد.
باز هم یک بهره برداری آینه ای دیگر
Mirror Protocol، یک برنامه مالی غیرمتمرکز در Terra، قربانی سوء استفاده دیگری شده است. تاکنون، میزان ضرر و زیان بیش از 2 میلیون دلار بوده است، و اگر این اشکال تا ساعت 4:00 صبح به وقت شرقی وصله نشود، تمام استخرهای آن در خطر خواهند بود. پروتکل Mirror به کاربران این امکان را میدهد تا از طریق داراییهای مصنوعی و اجرا بر روی بلاک چین قدیمی Terra، موقعیتهای لانگ یا کوتاه در سهام فناوری را بگیرند.ترا کلاسیک).
پس از فروپاشی استیبل کوین TerraUSD و توکن LUNA که اکنون LUNA Classic (LUNC) نامیده می شود، یک بلاک چین جدید جایگزین بلاک چین قدیمی Terra شد. با این حال، با وجود ظهور یک بلاک چین جدید، بلاک چین قدیمی Terra همچنان به کار خود ادامه می دهد. پروتکل Mirror نشان داد که استخرهای بیت کوین، اتر و پولکادوت تاکنون تخلیه شده است.
حمله می تواند بزرگتر شود
به گفته یکی از اعضای برجسته جامعه Terra FatMan، که همچنین در خط مقدم مخالفت با نحوه راه اندازی بلاک چین جدید Terra بود، مهاجم تاکنون بیش از 2 میلیون دلار سرقت کرده است. استخرهایی که تخلیه نشده اند به سهامی متصل هستند که در حال حاضر تا ساعت 4:00 صبح به وقت شرقی برای معامله در دسترس نیستند. هنگامی که این ها در دسترس قرار می گیرند، مهاجم می تواند از اکسپلویت برای استخرهای باقی مانده استفاده کرده و آنها را تخلیه کند.
اصل مشکل
مشکل از اوراکل قیمت پروتکل آینه ناشی می شود. این موضوع توسط بنیانگذار Block Pane، تاد گاریسون، فاش شد، که فاش کرد که اکثریت قابل توجهی از اعتبار سنجی گرهها را اجرا میکنند. ترا کلاسیک در حال اجرای یک نسخه قدیمی از اوراکل قیمت هستند. با تشکر از این، گره ها به Mirror Protocol می گویند که هر LUNC به جای قیمت واقعی آن، که کسری از سنت است، 5 UST ارزش دارد.
او همانقدر در توییتر اعلام کرد،
«لطفاً به اصلاح اوراکل قیمت LUNC توجه کنید، زیرا در مدت کوتاهی، تمام استخرهای نقدینگی تخلیه میشوند، Mirror بدهیهای بد جبرانناپذیری به دست میآورد و سیستم به خودی خود فرو میپاشد. اکنون زمان غفلت نیست.»
به لطف تعطیلات آخر هفته و روز یادبود در ایالات متحده، این حمله بر اکثر سهام توکن شده تأثیری نداشته است. FatMan نیز همان کاربری است که باگ دیگری را در پروتکل Mirror شناسایی کرده بود.
سوء استفاده 90 میلیون دلاری و چگونه اتفاق افتاد
در اکتبر 2021، Mirror Protocol دچار سوء استفاده 90 میلیون دلاری شده بود که تا هفته گذشته کشف نشد، زمانی که FatMan عضو جامعه Terra و تحلیلگر آن را دید. این اکسپلویت توسط شرکت امنیتی BlockSec پس از تجزیه و تحلیل تراکنش مربوط به اکسپلویت تایید شد.
هنگامی که شخصی در مقابل یک سهام روی پروتکل Mirror شرط بندی می کند، باید وثیقه را قفل کند. با این حال، قرارداد قفل Mirror زمانی که از همان شناسه بیش از یک بار برای برداشت وجه استفاده شده است به دلیل برخی کدهای باگ، بررسی نشد. یک نهاد مخرب در اکتبر 2021 متوجه این موضوع شد و از فهرستی از شناسههای تکراری برای باز کردن وثیقههای بسیار بیشتر از آنچه که داشتند استفاده کرد. در مجموع، این نهاد 90 میلیون دلار تخلیه کرد.
برای ماه ها بدون توجه استفاده کنید
این اکسپلویت به مدت هفت ماه مورد توجه قرار نگرفت، علیرغم وجود دادههای زنجیرهای، و Mirror نتوانست این اکسپلویت را گزارش کند. BlockSec به احتمال زیاد توضیحی برای عدم توجه به این اکسپلویت ارائه کرد و گفت که کاربران کمتری در مقایسه با سایرین مانند اتریوم به دنبال مشکلات در Terra هستند.
علاوه بر این، هیچ راهی برای بررسی میزان وثیقه بدون غربال کردن مقدار قابل توجهی از دادهها وجود نداشت که تشخیص آسیبپذیری را حتی دشوارتر میکرد. با این حال، توسعهدهندگان Mirror این آسیبپذیری را در همان زمانی که UST شروع به بازگشایی کرد، اصلاح کردند. هنگامی که این آسیبپذیری برطرف شد، جامعه شروع به تعجب کرد که آیا یک سوء استفاده وجود دارد و آیا توسعهدهندگان Mirror از آن اطلاع دارند یا خیر.
نه اولین هک گزارش نشده
این اولین بار نیست که یک هک مورد توجه قرار نمی گیرد. اگر هک زنجیره جانبی Ronin در مارس 2022 را به خاطر بیاورید، هکرها 600 میلیون دلار دزدیده بودند. این هک تا یک هفته قبل از اینکه کاربران آن را کشف کنند، مورد توجه قرار نگرفت، تنها به این دلیل که به لطف کمبود شکاف ایجاد شده توسط این اکسپلویت، نتوانستند وجوه خود را برداشت کنند.
سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.
منبع: https://cryptodaily.co.uk/2022/05/devs-mia-as-mirror-protocol-suffers-yet-another-exploit