Хакер украл $90 млн из протокола Mirror

Хакер использовал уязвимость работающего на базе Terra DeFi-протокола Mirror и вывел более 90 миллионов долларов. 

Факт эксплойта обнаружил аналитик FatMan, а специалисты фирмы по кибербезопасности BlockSec подтвердили его заявление.

Для открытия короткой позиции по синтетической акции в Mirror Protocol необходимо заблокировать залог (UST, LUNA Classic и mAssets) минимум на 14 дней. После завершения операции токены можно вывести обратно в кошелек.

Чтобы установить владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Хакер воспользовался уязвимостью протокола, благодаря которой многократный вывод средств одним и тем же пользователем не был заблокирован протоколом.

Злоумышленник обнаружил уязвимость в октябре 2021 года. С тех пор он смог вывести в общей сложности 90 миллионов долларов. В итоге полученная хакером сумма превысила в сотни раз размер заблокированного им обеспечения.

В BlockSec объяснили, что поскольку на сайте Mirror не выводились данные о сумме внесенного пользователями залога, выявить раньше этот эксплойт не было возможным. Кроме того, специалисты отметили, что анализ данных в блокчейне Terra по сравнению Ethereum и EVM-совместимыми сетями, менее щепетилен.

Через несколько дней после падения Terra, разработчики Mirror Protocol устранили эксплойт.

Большинство валидаторов в сети Terra Classic использовало устаревшую версию оракулов, которые предоставляли системе данные о стоимости LUNA Classic (LUNC) по курсу 5 USTC (~$0,12), когда реальная цена не превышала $0,0001. В итоге вор опустошил несколько пулов ликвидности (mBTC, mETH, mDOT и mGLXY).

FatMan предупредил, что хакер может так же поступить с пулами mAsset, что приведет к накоплению безнадежного долга и коллапсу протокола. Но, к счастью, доступ к ним был приостановлен до начала предторговой сессии акциями, к которым они привязаны. 

Разработчики прислушались к советам эксперта и отключили использование mBTC, mETH, galaxy и mDOT в качестве залога, предотвратив возможную катастрофу.

Post a Comment