Хакер вывел $90 млн из протокола Mirror. Это обнаружили спустя семь месяцев

Работающий на базе Terra DeFi-протокол Mirror стал жертвой эксплойта на сумму более $90 млн. Его обнаружил аналитик FatMan, а подтвердили специалисты фирмы по кибербезопасности BlockSec.

As pointed out by many followers (thanks very much), the attack transaction can be viewed on the ‘classic’ chain(https://t.co/9nmweKv1hC).

We have made a clarification here:https://t.co/Sqj5jet6Ij

— BlockSec (@BlockSecTeam) May 29, 2022

Для открытия короткой позиции по синтетической акции в Mirror Protocol необходимо заблокировать залог (UST, LUNA Classic и mAssets) как минимум на 14 дней. После завершения операции токены можно вывести обратно в кошелек.

Чтобы установить владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Из-за уязвимости протокол не смог заблокировать многократный вывод средств одним и тем же пользователем. В октябре 2021 года это обнаружил неизвестный, который нанес ущерб в общей сложности на $90 млн — сумма превысила в сотни раз размер заблокированного им обеспечения.

В BlockSec объяснили, что об этом стало известно только сейчас, поскольку на сайте Mirror не выводились данные о сумме внесенного пользователями залога. Другим фактором стало недостаточное внимание сообщества к анализу данных в блокчейне Terra по сравнению Ethereum и EVM-совместимыми сетей.

В мае, несколько дней спустя после коллапса Terra, разработчики Mirror Protocol устранили эксплойт. На форуме сообщества команда оставила без ответа вопрос о том, успел ли кто-то воспользоваться уязвимостью.

На днях неизвестный вывел из Mirror еще $2 млн в результате проблем с отображением котировок оракулами. Эту уязвимость обнаружил участник сообщества Mirroruser и подтвердил FatMan.

Mirror Protocol is being exploited again as we speak, and the devs are completely MIA. So far, the attacker has drained over $2m and counting — the attack will get worse when markets open tomorrow unless the dev team steps in and fixes the price oracle. @mirror_protocol (1/4)

— FatMan (@FatManTerra) May 30, 2022

Большинство валидаторов в сети Terra Classic использовало устаревшую версию оракулов. Последние предоставляли системе данные о стоимости LUNA Classic (LUNC) по курсу 5 USTC (~$0,12), в то время как реальная цена не превышала $0,0001. В результате злоумышленник опустошил несколько пулов ликвидности (mBTC, mETH, mDOT и mGLXY).

Аналитик предупредил, что хакер может так же поступить с пулами mAsset, что приведет к накоплению безнадежного долга и коллапсу протокола. Доступ к ним был приостановлен до начала предторговой сессии акциями, к которым они привязаны. 

Ситуацию «спасли» выходные и празднование 30 мая в США Дня памяти, в которые фондовый рынок был закрыт.

Разработчики прислушались к советам эксперта. Они отключили использование mBTC, mETH, galaxy и mDOT в качестве залога, предотвратив «катастрофу». В результате злоумышленник потерял возможность по опустошению пулов ликвидности.

Crisis averted — in the nick of time, Mirror disabled the usage of mBTC, mETH, mGLXY and mDOT as collateral. The attacker can no longer use his ill-gotten endowment to drain the rest of the pools. Great job @mirror_protocol — thank you! https://t.co/o64SVIRBmZ

— FatMan (@FatManTerra) May 31, 2022

Напомним, в мае FatMan заподозрил CEO Terraform Labs До Квона и венчурных капиталистов в манипулировании Mirror Protocol.