Allinstation Mirror Protocol đã bị khai thác lỗ hổng và thất thoát 90 triệu USD từ tháng 10 năm ngoái nhưng chỉ mới được phát hiện gần đây.
Mirror Protocol đã bị hack gần 90 triệu USD trên Terra Classic vào ngày 8 tháng 10 năm 2021, một người dùng Twitter có tên FatMan tiết lộ lần đầu tiên vào ngày 26 tháng 5 năm 2022, bảy tháng sau cuộc tấn công.
Theo FatMan, người nói rằng anh ta đã phát hiện ra vụ hack trong một lần tình cờ, kẻ tấn công đã đánh cắp 89,706,164 USD từ giao thức nhờ vào một khai thác cho phép họ mở khóa tài sản thế chấp từ hợp đồng khóa “nhiều lần với chi phí thấp và rủi ro bằng không.”
?? What if I told you that Mirror Protocol, up until 18 days ago, was susceptible to the one of the most profitable exploits of all time, allowing an attacker to generate $4.3m from $10k in a single transaction? Here's how I discovered this – by pure serendipity. ??
— FatMan (@FatManTerra) May 27, 2022
Xem xét dữ liệu on-chain của Terra Classic thực sự cho thấy rằng kẻ tấn công có thể mở khóa đồng UST nhiều lần từ giao thức trong cùng một giao dịch, chỉ trả khoảng 17.54 đô la để làm như vậy.
Mirror Protocol là một ứng dụng phi tập trung cho phép tạo ra các các ứng dụng để theo dõi giá của các tài sản trong thế giới thực như cổ phiếu cũng như cho phép người dùng nắm giữ các vị thế mua hoặc bán trên các cổ phiếu công nghệ bằng cách sử dụng tài sản tổng hợp. Các hợp đồng của Mirror đã được triển khai chủ yếu trên Terra Classic, nhưng vẫn có các tài sản trên các nền tảng Ethereum (ETH) và Binance Smart Chain (BSC).
Đầu tháng này vào ngày 9/5/2022, các nhà phát triển Mirror đã lặng lẽ sửa lỗ hổng bảo mật, cùng lúc với UST stablecoin bắt đầu sụp đổ. Một tuần sau khi sửa lỗi, các thành viên cộng đồng bắt đầu tự hỏi liệu có thể có một vụ hack tiếp theo hay không, theo một cuộc thảo luận về quản trị. Các nhà phát triển của Mirror Protocol không bình luận thêm rằng liệu bug này đã được nhiều kẻ xấu biết tới và lợi dụng chưa.
Nhóm Mirror Protocol vẫn chưa đưa ra bất kỳ tuyên bố nào về việc khai thác, điều này đã dẫn đến sự chỉ trích từ cộng đồng. FatMan, tuy nhiên, cho rằng không có “bằng chứng thuyết phục” nào cho thấy thực thể chịu trách nhiệm cho vụ hack là một người trong cuộc.
BlockSec cho biết việc khai thác có thể không được chú ý bởi vì có rất ít người dành thời gian để kiểm tra các vấn đề trên Terra so với Ethereum và các chuỗi tương thích với Ethereum.
Đây không phải là lần đầu tiên việc hack trong thị trường DeFi mất thời gian để làm sáng tỏ, Nhưng đây là lần phát hiện lâu nhất về các lỗi trên DeFi. Trước đó, đội Ronin đã mất sáu ngày để nhận ra rằng họ đã bị khai thác với giá 600 triệu USD.
Việc khai thác diễn ra như thế nào?
Bất cứ khi nào ai đó muốn đặt cược vào một cổ phiếu trên Mirror, họ phải khóa tài sản thế chấp của mình – bao gồm UST, LUNA cũ và mAssets trong tối thiểu là 14 ngày.
Sau khi giao dịch kết thúc, người dùng có thể mở khóa tài sản thế chấp để có thể rút tiền về ví cá nhân của mình. Tất cả điều này đã được thực hiện với sự trợ giúp của số ID do hợp đồng thông minh tạo ra.
Tuy nhiên, do mã số ID nhiều lần bị lỗi, hợp đồng khóa của Mirror bị cáo buộc không thể kiểm tra khi ai đó sử dụng cùng một ID nhiều lần để rút tiền.
Vào tháng 10 năm 2021, một thực thể không xác định nhận thấy rằng họ có thể sử dụng danh sách các ID trùng lặp để mở khóa liên tục hàng trăm lần tài sản thế chấp. Về cơ bản, điều này có nghĩa là hacker có thể rút tiền mà không cần bất kỳ ủy quyền nào. Điều này khiến việc nhận thấy lỗ hổng bảo mật khó hơn nhiều nếu không sàng lọc qua một lượng lớn dữ liệu blockchain.