一名 Terra 社區成員意外發現了某個被疏忽七個月的 DeFi 漏洞,並且得到了 BlockSec 安全分析師的證實。
2021 年 10 月,DeFi 應用程式 Mirror Protocol 在舊 Terra 區塊鏈上遭受了 9000 萬美元的攻擊損失,但社區直到上週才意識到它的存在。據悉,Mirror Protocol 允許使用者使用合成資產,對科技股進行做多或做空。
Mirror Protocol 建立在 Terra 區塊鏈之上,然而在 TerraUSD(UST)穩定幣失去與美元的錨定之後,其姊妹代幣 Luna 在本月早些時候也被拖累到幾乎一文不值。在經歷了混亂的幾週後,社區投票通過了硬分叉的 Terra 2.0 以消弭影響,而原始鏈則倍改名為 Terra Classic 。
本文提到的漏洞,由 Terra 社區成員兼分析師「FatMan」曝光。這對最新推出的 Terra 2.0 區塊鏈,他也是最直言不諱的反對者之一。同時安全公司 BlockSec 通過分析特定的漏洞利用交易,證實了 FatMan 的這一發現。
可知每當有人想要在 Mirror 上做空時,其必須將包括UST、LUNA Classic(LUNC)和 mAssets 在內的抵押品鎖定至少 14 天。交易結束後,使用者可解鎖抵押品、並將資產釋放回錢包,且所有相關操作都是在智慧合約生成的 ID 號的幫助下完成的。然而由於程式碼上的 Bug,報導稱 Mirror 的鎖定合約、未能檢查何時有人多次使用同一個 ID 來提取資金。
於是 2021 年 10 月,某個不知名的實體發現了這一漏洞,並借此利用重複 ID 列表來反覆解鎖數以百倍的抵押品──基本上意味著肇事者能夠在沒有任何授權的情況下提取資金。後續的區塊鏈記錄表明,該實體總共撬走了約 9000 萬美元的資金。然而更讓人感到無言以對的是,這一漏洞直到七個月後才被人曝光。通常情況下,為透明起見,計畫放都會盡快向公眾通報安全事件──即便類似 Mirror Protocol 漏洞的事件相當罕見。
BlockSec 指出:「與 ETH 和相容區塊鏈相比,在 Terra 上掃瞄相關問題的人較少,因而該漏洞才遲遲未被公眾所知曉。」此外 Mirror 網站上沒有可以查看協議中抵押品總量的界面,這使得在不篩選大量區塊鏈資料的情況下,更難發現相關漏洞。
本月早些時候,大約在 UST 穩定幣開始崩潰的同時,Mirror 開發人員悄悄修復了該漏洞──發佈一週後,社區成員開始懷疑是否存在漏洞。
當然,這並不是駭客首次盯上加密貨幣的區塊鏈協議。比如 2022 年 3 月,在駭客從 Ronin 側鏈竊走 6 億美元之後一週,無法提取資金的人們才意識到有糟糕的事情發生。
最後,被美國證券交易委員會(SEC)調查的 Mirror Protocol 尚未就此事發表官方評論。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!