DeFi Built On Terra a succombé à un exploit de 90 millions de dollars et passe inaperçu pendant sept mois

Il y a 1 an

Mirror Protocol, une application DeFi construite sur l’ancienne blockchain Terra, a été attaquée par un exploit de 90 millions de dollars en octobre 2021, et elle est restée entièrement inconnue jusqu’à la semaine dernière. L’attaquant a pu débloquer plusieurs fois des garanties du protocole tout en ne payant qu’une petite somme à chaque fois.

Le DeFi de Terra attaqué il y a sept mois

Un exploit coûteux de Terra DeFi n’a pas été signalé pendant sept mois jusqu’à la semaine dernière. Mirror Protocol, construit sur la blockchain Terra, permettait aux utilisateurs d’utiliser des actifs synthétiques pour prendre des positions longues ou courtes sur des actions technologiques.

Le mécanisme de fonctionnement du protocole, cependant, a été piraté pour 90 millions de dollars. L’attaque DeFi de la chaîne Terra a été découverte pour la première fois la semaine dernière par un membre et analyste de la communauté Terra nommé « FatMan », et a maintenant été confirmée par les analystes de sécurité BlockSec.

DeFi Built On Terra a succombé à un exploit de 90 millions de dollars et passe inaperçu pendant sept mois

Les membres de la communauté ont découvert une faiblesse dans le code du protocole miroir le 17 mai, permettant à un pirate de drainer jusqu’à 90 millions de dollars à partir du 8 octobre 2021.

Selon FatMan, qui dit avoir découvert le piratage par « pur hasard », l’attaquant a volé 89 706 164,03 $ au protocole grâce à un exploit qui leur a permis de débloquer des garanties du contrat de verrouillage « encore et encore à peu de frais et sans risque ».

Les statistiques en chaîne de Terra Classic ont révélé que l’attaquant a pu libérer des fonds UST du protocole plusieurs fois dans la même transaction pour seulement 17,54 $ à chaque fois.

En étudiant la transaction d’exploit précise, la société de sécurité BlockSec a confirmé les conclusions du membre de la communauté.

Comment cela s’est passé

Les utilisateurs doivent verrouiller la garantie pendant au moins quatorze jours afin de parier contre une action sur Mirror. La monnaie numérique originale de Terra, LUNA, était incluse avec cette garantie (maintenant LUNA Classic ou LUNC). mAssets et le stablecoin UST, aujourd’hui disparu, étaient également impliqués.

Les utilisateurs ont pu débloquer la garantie et remettre l’argent dans leur portefeuille une fois la transaction terminée.

De plus, l’utilisation de numéros d’identification générés par des contrats intelligents a facilité cette procédure. Le contrat de verrouillage de Mirror Protocol n’a cependant pas été en mesure de vérifier si un utilisateur avait déjà utilisé le même identifiant pour retirer des fonds en raison de la présence d’un bug.

La Thaïlande se prépare à l’économie numérique et supprime les transferts cryptographiques de la TVA jusqu’à la fin de 2023

Cependant, le contrat de verrouillage du Mirror n’a apparemment pas vérifié quand quelqu’un a utilisé le même identifiant pour retirer des fonds plusieurs fois en raison d’une erreur dans le code.

En octobre 2021, une entité non identifiée a découvert qu’une liste d’identifiants en double pouvait être utilisée pour déverrouiller à plusieurs reprises des centaines de fois plus de garanties qu’elle n’en avait. Cela signifiait essentiellement que le criminel pouvait retirer des fonds sans autorisation.

Une nouvelle attaque

Le 30 mai, quelques jours seulement après la découverte, le protocole DeFi a de nouveau été ciblé.

Selon les rapports, le dernier piratage a été provoqué par une faille dans la configuration des oracles de prix de la société, qui a permis à l’attaquant de profiter d’une disparité de prix entre l’ancien LUNC et les nouveaux jetons LUNA.

Les nœuds Terra exécutaient un logiciel oracle obsolète, ce qui a permis à l’attaque d’avoir lieu. Le pirate informatique a volé plus de 2 millions de dollars au protocole, selon le membre de la communauté Chainlink qui a découvert l’attaque.

Ce n’est pas la première fois qu’un piratage passe inaperçu pendant une courte période. En mars 2022, des pirates ont volé 600 millions de dollars à la chaîne latérale Ronin, et il a fallu une semaine pour que quiconque s’en aperçoive. Ce n’est que lorsque les utilisateurs ont découvert qu’ils ne pouvaient pas retirer leur argent que quelqu’un s’est rendu compte qu’il y avait un problème.

Mirror Protocol, qui fait l’objet d’une enquête de la Securities and Exchange Commission, n’a pas encore fait de déclaration officielle sur la situation.

L’équipe de Mirror Protocol n’a pas encore publié de déclaration concernant l’exploit, provoquant l’indignation de la communauté. FatMan, d’autre part, estime qu’il existe des « preuves irréfutables » que le pirate était un initié.

Bien que ce ne soit pas le premier exploit DeFi de l’histoire, c’est celui qui a mis le plus de temps à être découvert. Terra fait l’objet d’un examen minutieux alors que la pression s’accumule.

Pas si grande muraille : comment la Chine a lamentablement échoué à interdire l’exploitation minière de Bitcoin

com

  • 3 raisons pour lesquelles vous devriez HODL LUNA + son revenu passif
  • Guide du débutant sur l'écosystème DeFi de Terra
  • Un regard sur la création de Terra LUNA et les personnes qui ont aidé Do Kwon Rise : Actualités Bitcoin en vedette
    • Des investisseurs fortunés convaincus par les investissements alternatifs
    Il y a 3 semaines
    SHIB devient optimiste pour la première fois depuis le lancement de Shibarium
    Il y a 3 semaines
    Explication-Qu'est-ce qui est en jeu dans l'affaire Spot Bitcoin ETF de Grayscale contre la SEC ? Par Reuters
    Il y a 3 semaines
    bitcoin
    Bitcoin (BTC) 25.316,09 0,65%
    ethereum
    Ethereum (ETH) 1.519,10 1,08%
    tether
    Tether (USDT) 0,938379 0,06%
    bnb
    BNB (BNB) 200,12 1,55%
    xrp
    XRP (XRP) 0,477583 0,85%
    usd-coin
    USD Coin (USDC) 0,938544 0,04%
    staked-ether
    Lido Staked Ether (STETH) 1.517,91 1,12%
    dogecoin
    Dogecoin (DOGE) 0,058727 0,26%
    cardano
    Cardano (ADA) 0,234255 1,36%
    solana
    Solana (SOL) 18,65 0,62%
    the-open-network
    Toncoin (TON) 2,21 7,56%
    tron
    TRON (TRX) 0,078400 1,31%
    polkadot
    Polkadot (DOT) 3,85 0,59%
    matic-network
    Polygon (MATIC) 0,502857 0,82%
    litecoin
    Litecoin (LTC) 60,25 3,53%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 25.289,80 0,67%
    shiba-inu
    Shiba Inu (SHIB) 0,000007 0,41%
    bitcoin-cash
    Bitcoin Cash (BCH) 199,59 1,55%
    dai
    Dai (DAI) 0,937800 0,20%
    chainlink
    Chainlink (LINK) 6,37 0,36%
    leo-token
    LEO Token (LEO) 3,61 2,32%
    true-usd
    TrueUSD (TUSD) 0,936929 0,22%
    uniswap
    Uniswap (UNI) 4,05 2,10%
    avalanche-2
    Avalanche (AVAX) 8,38 1,97%
    stellar
    Stellar (XLM) 0,106817 3,90%
    monero
    Monero (XMR) 138,03 0,34%
    okb
    OKB (OKB) 40,50 2,04%
    binance-usd
    Binance USD (BUSD) 0,938850 0,04%
    ethereum-classic
    Ethereum Classic (ETC) 14,48 1,28%
    cosmos
    Cosmos Hub (ATOM) 7,00 0,95%
    hedera-hashgraph
    Hedera (HBAR) 0,047567 0,10%
    filecoin
    Filecoin (FIL) 3,08 2,77%
    lido-dao
    Lido DAO (LDO) 1,46 0,80%
    crypto-com-chain
    Cronos (CRO) 0,048224 0,06%
    internet-computer
    Internet Computer (ICP) 2,81 1,04%
    quant-network
    Quant (QNT) 84,21 1,68%
    mantle
    Mantle (MNT) 0,377731 0,20%
    vechain
    VeChain (VET) 0,016405 0,84%
    aptos
    Aptos (APT) 4,83 0,81%
    maker
    Maker (MKR) 1.250,62 2,43%
    optimism
    Optimism (OP) 1,26 2,55%
    arbitrum
    Arbitrum (ARB) 0,785587 1,81%
    near
    NEAR Protocol (NEAR) 1,06 0,83%
    kaspa
    Kaspa (KAS) 0,045694 6,58%
    aave
    Aave (AAVE) 59,80 2,72%
    rocket-pool-eth
    Rocket Pool ETH (RETH) 1.649,47 1,08%
    the-graph
    The Graph (GRT) 0,084374 0,13%
    immutable-x
    ImmutableX (IMX) 0,658182 27,53%
    algorand
    Algorand (ALGO) 0,092718 3,63%
    whitebit
    WhiteBIT Coin (WBT) 4,99 0,41%