Terra에서 90만 달러 규모의 DeFi 익스플로잇이 XNUMX개월 동안 발견되지 않았습니다.

2021년 90월 DeFi 애플리케이션 Mirror Protocol은 이전 Terra 블록체인에서 XNUMX천만 달러의 익스플로잇에 굴복했고 지난 주까지 완전히 알려지지 않았습니다.

미러 프로토콜을 통해 사용자는 합성 자산을 사용하여 기술 주식에 대해 롱 또는 숏 포지션을 취할 수 있습니다. 그것은 이달 초 주요 스테이블 코인이 미국 달러에 대한 페그를 잃고 자매 토큰인 Luna를 끌어내린 후 무너진 Terra를 기반으로 구축되었습니다. (블록체인은 이제 Terra 2.0으로 부활했으며 원래 체인은 Terra Classic으로 계속 남아 있습니다.)

익스플로잇은 발견 Terra 커뮤니티 회원이자 "FatMan"이라는 분석가가 작성했습니다. 그는 새로운 Terra 블록체인의 최근 출시에서 가장 큰 목소리를 내는 적대자 중 한 명이었습니다.

보안업체 블록섹 확증 된 특정 익스플로잇 트랜잭션을 분석하여 커뮤니티 회원의 발견 사항. BlockSec은 익스플로잇이 실제로 발생했음을 확인했습니다.

익스플로잇은 어떻게 발생했습니까?

누군가가 Mirror의 주식에 대해 내기를 하고 싶을 때마다 그들은 잠금 담보 — UST, LUNA Classic(LUNC) 및 mAssets 포함 — 최소 14일 동안.

거래가 완료된 후 사용자는 담보를 잠금 해제하여 자금을 지갑으로 되돌릴 수 있습니다. 이 모든 것은 스마트 계약에서 생성된 ID 번호의 도움으로 이루어졌습니다. 

그러나 버그가 있는 코드로 인해 미러의 잠금 계약은 누군가가 동일한 ID를 두 번 이상 사용하여 자금을 인출할 때 확인하지 못했다고 합니다. 

2021년 XNUMX월, 한 알려지지 않은 엔티티가 중복 ID 목록을 사용하여 보유하고 있는 것보다 수백 배 더 많은 담보물을 반복적으로 잠금 해제할 수 있음을 발견했습니다. 이것은 기본적으로 가해자가 승인 없이 자금을 인출할 수 있음을 의미했습니다.

암호화 데일리 브리프 받기

매일 받은 편지함으로 바로 배달됩니다.

이 기업은 총 90만 달러를 빼돌렸다. 블록 체인 기록. 

XNUMX개월 동안 주목받지 못한 채

미러 익스플로잇은 온체인 데이터가 있음에도 불구하고 주요 해킹이 오랫동안 공개되지 않은 드문 이벤트 중 하나일 수 있습니다. 일반적으로 프로젝트는 투명성을 위해 보안 이벤트를 신속하게 보고합니다.

BlockSec은 Ethereum 및 Ethereum 호환 체인에 비해 Terra에서 문제를 검색하는 사람이 적기 때문에 익스플로잇이 눈에 띄지 않을 수 있다고 말했습니다.

또한, Mirror 웹사이트에는 프로토콜의 총 담보량을 확인할 수 있는 인터페이스가 없었습니다. 이로 인해 많은 양의 블록체인 데이터를 샅샅이 뒤지지 않고 취약점을 알아채기가 훨씬 더 어려워졌습니다.

이달 초, 미러 개발자들은 UST 스테이블 코인이 무너지기 시작한 것과 거의 동시에 취약점을 조용히 수정했습니다. 거버넌스 토론에 따르면 패치 일주일 후 커뮤니티 구성원은 익스플로잇이 있을 수 있는지 궁금해하기 시작했습니다. Mirror의 개발자가 익스플로잇에 대해 알고 있었는지 여부는 확실하지 않습니다.

그러나 짧은 시간 동안 해킹이 감지된 것은 이번이 처음이 아닙니다. 해커가 600년 2022월에 Ronin 사이드체인에서 XNUMX억 달러를 훔쳤을 때 누군가가 그 일이 일어났다는 것을 깨닫기까지 일주일이 흘렀습니다. 사용자가 자금을 인출할 수 없다는 것을 알았을 때만 자금 부족이 있다는 것을 깨달았습니다.

SEC 조사 대상인 미러 프로토콜은 아직 이 문제에 대해 공식적인 언급을 하지 않았다. Mirror 또는 Terraform Labs 팀은 아직 의견 요청에 응답하지 않았습니다. 

이와 같은 더 많은 속보를 보려면 다음에서 차단을 팔로우하세요. 트위터.

© 2022 The Block Crypto, Inc. 모든 권리 보유. 이 기사는 정보 제공의 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 사용되거나 제공되지 않습니다.