Még 2021 októberében, a Mirror Protocol nevű DeFi alkalmazáson sikerült 90 millió dolláros csalást végrehajtani, mindezt a régi Terra blokkláncon keresztül – és egészen a múlt hétig teljesen észtrevétlen is maradt.
A Mirror Protocol egy decentralizált alkalmazás, amely lehetővé teszi olyan digitális eszközök létrehozását, amelyek nyomon követik a valós eszközök, például a részvények árát. A Mirror Protocol lehetővé tette a felhasználók számára, hogy long vagy short pozíciókat nyissanak különböző részvényeken a létrehozott szintetikus eszközök segítségével.
A Mirror alapszerződéseit a Terra Classic blokkláncon telepítették, de eszközei elérhetők az Ethereum és a Binance Smart Chain(BSC) felületén is. A támadást a Terra-n hajtották végre, amely május elején összeomlott, miután fő stabil koinja elvesztette értékét, és magával rántotta testvér tokenét, a LUNA-t is. (A blokkláncot most Terra 2.0 néven élesztették újjá, míg az eredeti lánc Terra Classic néven él tovább.)
Kapcsolódó:
A kizsákmányolásra „FatMan” nevű felhasználó figyelt fel, aki a Terra közösség tagja és elemző is egyben. Ő volt az egyik leghangosabb ellenzője az új Terra blokklánc elindításának.
Two coffees later, as I was about to give up, I found this. Hold on… What’s going on here? A single transaction from October 2021 unlocking one position over and over again – and it actually executed. Here’s the transaction: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
— FatMan (@FatManTerra) May 27, 2022
A BlockSec biztonsági cég a konkrét kizsákmányolási tranzakció elemzésével megerősítette FatMan megállapításait. A BlockSec megerősítette, hogy valóban történt vissazélés.
Próbáld ki a Binance-t most és 10% kedvezményt kapsz minden vásárlás és kereskedés díjából örökre!
90 millió dolláros DeFi hack: Hogyan történhetett meg a visszaélés?
FatMan azt állítja, hogy egy „szerencsés véletlen”-nek köszönhetően sikerült felfedeznie a visszaélést, amiben a támadó egész pontosan 89 706 164.03$-t dollárt lopott el egy olyan kiskapunak köszönhetően, amely lehetővé tette számukra, hogy „kis költséggel és nulla kockázattal újra és újra feloldják a zárolt szerződések fedezeteit”.
Amikor valaki részvényekkel akar kereskedni a Mirror protokollon keresztül, akkor legalább 14 napig kell fedezetként zárolnia, valamelyik kriptovalutáját az alábbiak közül: UST, LUNA Classic (LUNC) vagy Mirror eszközöket (mAsset).
Csak az ügylet lezárása után lehet hozzáférni a letétbe helyezett fedezetekhez. Mindez az intelligens szerződés alapján generált azonosítószámok segítségével történik. Egy hibás kód miatt azonban a Mirror zárolt szerződése állítólag nem tudta ellenőrizni, ha valaki ugyanazt az azonosítót többször is használta pénzfelvételre.
2021 októberében egy ismeretlen entitás felfigyelt arra, hogy az ismétlődő azonosítók listáját felhasználva néhány százszoran több fedezetet is fel tudtak oldani, mint amennyi a tulajodnukban volt. Ez alapvetően azt jelentette, hogy az elkövető engedély nélkül vehetett fel pénzt.
A Terra Classic on-chain adatainak vizsgálata valóban azt mutatja, hogy a támadó ugyanazon tranzakción belül többször is képes volt feloldani az UST forrásokat a protokollból, és ezért mindössze körülbelül 17.54$-t fizetett.
Hét hónapig észrevétlen maradt
A BlockSec szerint a kizsákmányolás valószínűleg azért maradt észrevétlen, mert kevesebb felhasználó van, aki a Terra blokkláncon keres lehetséges problémákat, mint például az Ethereum és az Ethereum-kompatibilis láncok esetében.
Ráadásul a Mirror honlapján nem áll rendelkezésre olyan felület, amely lehetővé tette volna a jegyzőkönyvben szereplő fedezetek teljes összegének ellenőrzését.
A hónap elején a Mirror fejlesztői csendben kijavították a sebezhetőséget, nagyjából ugyanabban az időszakban, amikor az UST stablecoin hanyatlásnak indult. Nem világos, hogy a Mirror fejlesztői tudtak-e a visszaélésről.
Azonban nem ez az első eset, hogy egy hack rövid időre észrevétlen maradt. Amikor 2022 márciusában hackerek 600 millió dollárt loptak el a Ronin oldalláncról, egy hét telt el, mire bárki is észrevette, hogy ez egyáltalán megtörtént. Aztán a felhasználók rájöttek, hogy nem tudják kivenni a pénzüket, és ekkor jöttek rá, hogy itt bizony hiány van.
A Mirror Protocol, amely jelenleg a SEC vizsgálati tárgyát képezi, még nem nyilatkozott hivatalosan az ügyben. A Mirror vagy a Terraform Labs csapata még nem válaszolt a nyilatkozattételi kérelmekre.
forrás: theblockcrypto.com
Csatlakozz Hozzánk Facebookon is: Magyar Bitcoin és Altcoin Csoport (6000+ tag)és Crypto Bitcoin Hungary (2000+ Tag)
Mások ezeket is olvasták!
- Bitcoin és Kriptovaluta Kezdőknek [2022] | 100+ Hasznos Link, ami segít elindulni
- A 6 legjobb kriptotőzsde 2022-ben
- Bitcoin Vásárlás Bankkártyával | Gyorsan és Egyszerűen| Instant Bitcoin Vásárlás
- Kriptovaluta Kereskedés Kezdőknek Lépésről Lépésre | Bitcoin Vásárlás és Eladás Egyszerűen
- Kripto Portfólió Készítés Átgondoltan | Így kell Kiegyensúlyozott Kriptovaluta Portfóliót Készíteni
- Passzív jövedelem kriptovalutából – Íme a 10 legjobb Copy Trading Platform 2022-ben
- MetaMask Használata Kezdőknek | Teljes Útmutató Lépésről Lépésre
- PancakeSwap Használata Kezdőknek | Teljes Útmutató Lépésről Lépésre
- A 6 legjobb bitcoin pénztárca (wallet) 2022-ben
- 7 legjobb bitcoin (és altcoin) pénztárca mobilra – iOS-re és Androidra egyaránt
- Bitcoin és kriptovaluta adózás Magyarországon | Így kell adózni a kriptovaluták után
Olvasd el a legnépszerűbb tőzsdékről szóló értékelést és véleményeket!
- Coinbase leírás, vélemények és összehasonlítás – Segítsd a kriptoközösséget és írd le tapasztalataidat!
- Binance vélemények és összehasonlítás – Te próbáltad már? Írd le tapasztalataid és segíts másoknak!
- Kraken értékelés és vélemények – Oszd meg tapasztalatod és véleményed a kriptoközösséggel!
- Crypto.com vélemények és leírás – Te próbáltad már? Oszd meg tapasztalataidat a többiekkel!
- OKEx vélemények, értékelés és leírás – Oszd meg tapasztalataid a többiekkel vagy nézd meg mit mondanak mások!
- CEX.io vélemények és összehasonlítás – Olvasd el mások véleményeit a CEX.io-ról vagy oszd meg a sajátodat!
