Un exploit DeFi de 90 millions de dollars sur Terra est passé inaperçu pendant sept mois

Il y a 1 an

En octobre 2022, l’application DeFi Mirror Protocol a succombé à un exploit de 90 millions de dollars sur l’ancienne blockchain Terra – et il est passé complètement inaperçu jusqu’à la semaine dernière.

Le protocole miroir permettait aux utilisateurs de prendre des positions longues ou courtes sur des actions technologiques en utilisant des actifs synthétiques. Il a été construit sur Terra, qui s’est effondré plus tôt ce mois-ci après que son principal stablecoin ait perdu son ancrage au dollar américain, entraînant avec lui son jeton sœur Luna. (La blockchain a maintenant été relancée sous le nom de Terra 2.0, tandis que la chaîne d’origine vit sous le nom de Terra Classic).

L’exploit a été découvert accidentellement par un membre de la communauté Terra connu sous le nom de « FatMan ». Il a été l’un des antagonistes les plus virulents lors du récent lancement de la nouvelle blockchain Terra.

Un exploit DeFi de 90 millions de dollars sur Terra est passé inaperçu pendant sept mois

La société de sécurité BlockSec a corroboré les conclusions du membre de la communauté en analysant la transaction d’exploit spécifique. BlockSec a confirmé qu’un exploit avait bien eu lieu.

Comment l’exploit s’est-il produit ?

Chaque fois que quelqu’un voulait parier contre une action sur Mirror, il devait verrouiller la garantie – y compris UST, LUNA Classic (LUNC) et mAssets – pendant au moins 14 jours.

Une fois la transaction terminée, les utilisateurs pouvaient débloquer la garantie pour remettre les fonds dans le portefeuille. Tout cela a été fait à l’aide de numéros d’identification générés par des contrats intelligents.

Cependant, en raison d’un code bogué, le contrat de verrouillage du Mirror n’aurait pas réussi à vérifier quand quelqu’un a utilisé le même identifiant plus d’une fois pour retirer des fonds.

En octobre 2021, une entité inconnue a remarqué qu’elle pouvait utiliser une liste d’identifiants en double pour déverrouiller à plusieurs reprises des centaines de fois plus de garanties qu’elle n’en avait. Cela signifiait essentiellement que l’auteur pouvait retirer des fonds sans aucune autorisation.

Cette entité a drainé environ 90 millions de dollars au total, selon les enregistrements de la blockchain.

Passé inaperçu pendant sept mois

L’exploit Mirror est peut-être l’un des rares événements où, malgré la présence de données en chaîne, un piratage majeur est resté longtemps non divulgué. Habituellement, les projets signalent rapidement les événements de sécurité dans un souci de transparence.

BlockSec a déclaré que l’exploit est probablement passé inaperçu car moins de personnes recherchaient des problèmes sur Terra par rapport aux chaînes compatibles avec Ethereum et Ethereum.

De plus, il n’y avait pas d’interface sur le site Mirror permettant de vérifier le montant total des garanties dans le protocole. Cela a rendu beaucoup plus difficile de remarquer la vulnérabilité sans passer au crible une grande quantité de données de blockchain.

Plus tôt ce mois-ci, les développeurs de Mirror ont discrètement corrigé la vulnérabilité, à peu près au même moment où le stablecoin UST commençait à s’effondrer. Une semaine plus tard après le patch, les membres de la communauté ont commencé à se demander s’il aurait pu y avoir un exploit, selon une discussion sur la gouvernance. On ne sait pas si les développeurs de Mirror étaient au courant de l’exploit.

Ce n’est cependant pas la première fois qu’un piratage passe sous le radar pendant une courte période. Lorsque des pirates ont volé 600 millions de dollars à la chaîne latérale Ronin en mars 2022, une semaine s’est écoulée avant que quiconque ne se rende compte que cela s’était produit. Ce n’est que lorsque les utilisateurs ont constaté qu’ils n’étaient pas en mesure de retirer leurs fonds que quelqu’un s’est rendu compte qu’il y avait un manque à gagner.

Mirror Protocol, qui fait l’objet d’une enquête de la SEC, n’a pas encore fait de commentaire officiel à ce sujet. L’équipe de Mirror ou Terraform Labs n’a pas encore répondu à une demande de commentaire.

Pour plus d’histoires comme celle-ci, assurez-vous de suivre The Block sur Twitter.

Il n’est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.

  • 3 raisons pour lesquelles vous devriez HODL LUNA + son revenu passif
  • Les analystes de Block Research : prévisions 2022
  • Guide du débutant sur l'écosystème DeFi de Terra
  • Meilleures CryptoApps à utiliser en 2021 et 2022
    • Tags:
    Des investisseurs fortunés convaincus par les investissements alternatifs
    Il y a 4 semaines
    SHIB devient optimiste pour la première fois depuis le lancement de Shibarium
    Il y a 4 semaines
    Explication-Qu'est-ce qui est en jeu dans l'affaire Spot Bitcoin ETF de Grayscale contre la SEC ? Par Reuters
    Il y a 4 semaines
    bitcoin
    Bitcoin (BTC) 24.532,48 1,78%
    ethereum
    Ethereum (ETH) 1.477,05 1,37%
    tether
    Tether (USDT) 0,938651 0,05%
    bnb
    BNB (BNB) 195,43 1,27%
    xrp
    XRP (XRP) 0,467045 2,58%
    usd-coin
    USDC (USDC) 0,939150 0,06%
    staked-ether
    Lido Staked Ether (STETH) 1.477,27 1,37%
    dogecoin
    Dogecoin (DOGE) 0,057051 1,34%
    cardano
    Cardano (ADA) 0,228966 0,88%
    solana
    Solana (SOL) 18,34 0,30%
    tron
    TRON (TRX) 0,079062 0,01%
    the-open-network
    Toncoin (TON) 2,05 2,67%
    polkadot
    Polkadot (DOT) 3,80 0,11%
    matic-network
    Polygon (MATIC) 0,481832 1,81%
    litecoin
    Litecoin (LTC) 60,35 0,71%
    shiba-inu
    Shiba Inu (SHIB) 0,000007 2,01%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 24.486,46 1,86%
    chainlink
    Chainlink (LINK) 6,83 2,23%
    bitcoin-cash
    Bitcoin Cash (BCH) 194,54 0,74%
    dai
    Dai (DAI) 0,938973 0,03%
    true-usd
    TrueUSD (TUSD) 0,937971 0,03%
    leo-token
    LEO Token (LEO) 3,54 0,24%
    uniswap
    Uniswap (UNI) 3,98 0,95%
    avalanche-2
    Avalanche (AVAX) 8,26 2,44%
    stellar
    Stellar (XLM) 0,104883 1,63%
    monero
    Monero (XMR) 134,63 0,20%
    okb
    OKB (OKB) 40,09 0,32%
    binance-usd
    BUSD (BUSD) 0,938814 0,01%
    ethereum-classic
    Ethereum Classic (ETC) 14,24 0,67%
    cosmos
    Cosmos Hub (ATOM) 6,55 1,29%
    hedera-hashgraph
    Hedera (HBAR) 0,047272 0,23%
    filecoin
    Filecoin (FIL) 3,01 1,66%
    aptos
    Aptos (APT) 5,26 6,98%
    internet-computer
    Internet Computer (ICP) 2,79 0,69%
    crypto-com-chain
    Cronos (CRO) 0,047197 1,14%
    lido-dao
    Lido DAO (LDO) 1,38 0,61%
    quant-network
    Quant (QNT) 83,48 1,30%
    mantle
    Mantle (MNT) 0,367210 1,68%
    vechain
    VeChain (VET) 0,015526 2,20%
    maker
    Maker (MKR) 1.197,22 0,81%
    near
    NEAR Protocol (NEAR) 1,03 0,88%
    arbitrum
    Arbitrum (ARB) 0,758983 2,14%
    optimism
    Optimism (OP) 1,17 3,07%
    kaspa
    Kaspa (KAS) 0,043155 2,48%
    rocket-pool-eth
    Rocket Pool ETH (RETH) 1.599,64 1,45%
    aave
    Aave (AAVE) 58,24 1,25%
    the-graph
    The Graph (GRT) 0,081646 0,69%
    algorand
    Algorand (ALGO) 0,093807 2,05%
    whitebit
    WhiteBIT Coin (WBT) 4,94 0,89%
    usdd
    USDD (USDD) 0,937940 0,02%