기존 Terra 블록체인을 기반으로 구축된 DeFi 애플리케이션인 Mirror Protocol은 90년 2021월 XNUMX천만 달러 규모의 익스플로잇 공격을 받았고 지난주까지 전혀 발견되지 않은 상태로 남아 있었습니다. 공격자는 매번 약간의 수수료를 지불하면서 프로토콜에서 담보를 여러 번 잠금 해제할 수 있었습니다.
Terra의 DeFi는 XNUMX개월 전에 공격을 받았습니다
값비싼 Terra DeFi 익스플로잇은 지난주까지 XNUMX개월 동안 보고되지 않았습니다. Terra 블록체인을 기반으로 구축된 미러 프로토콜을 통해 사용자는 합성 자산을 사용하여 기술 주식에서 롱 또는 숏 포지션을 취할 수 있습니다.
그러나 프로토콜의 운영 메커니즘은 90천만 달러에 해킹당했습니다. Terra 체인 DeFi 공격은 지난 주 Terra 커뮤니티 회원이자 분석가인 "FatMan"에 의해 처음 발견되었으며 현재 보안 분석가 BlockSec에 의해 확인되었습니다.
커뮤니티 회원 발견 17월 90일 미러 프로토콜 코드의 약점으로 인해 해커가 8년 2021월 XNUMX일부터 최대 XNUMX천만 달러를 유출할 수 있게 되었습니다.
FatMan에 따르면, 라고 그는 "순수한 우연"으로 해킹을 발견했고, 공격자는 "적은 비용과 위험 없이" 잠금 계약의 담보를 계속해서 잠금 해제할 수 있는 익스플로잇 덕분에 프로토콜에서 $89,706,164.03를 훔쳤습니다.
Terra Classic 온체인 통계 공개 공격자는 동일한 거래 내에서 매번 단돈 17.54달러에 프로토콜에서 UST 자금을 여러 번 해제할 수 있었습니다.
보안업체 BlockSec은 정확한 익스플로잇 거래를 연구하여 확인 된 커뮤니티 회원의 조사 결과.
그것은 어떻게 일어 났는지
사용자는 Mirror에서 주식에 베팅하려면 최소 XNUMX일 동안 담보를 잠가야 합니다. 원래 Terra 디지털 통화인 LUNA가 이 자료(현재 LUNA Classic 또는 LUNC)에 포함되었습니다. mAssets와 현재는 존재하지 않는 스테이블코인 UST도 참여했습니다.
사용자는 거래가 완료되면 담보를 잠금 해제하고 해당 금액을 지갑으로 반환할 수 있었습니다.
또한 스마트 계약으로 생성된 ID 번호를 사용하여 이 절차를 도왔습니다. 그러나 미러 프로토콜의 잠금 컨트랙트는 버그로 인해 사용자가 이전에 동일한 ID를 사용하여 자금을 출금했는지 여부를 확인할 수 없었습니다.
관련 독서 | 태국, 디지털 경제를 위한 준비, 2023년 말까지 VAT에서 암호화폐 이전 제거
그러나 미러의 잠금 계약은 코드 결함으로 인해 누군가가 동일한 ID를 사용하여 여러 번 자금을 인출했는지 확인하지 못한 것으로 보입니다.
2021년 XNUMX월, 미확인 독립체는 중복 ID 목록을 사용하여 기존보다 수백 배 더 많은 담보를 반복적으로 잠금 해제할 수 있다는 사실을 발견했습니다. 이는 본질적으로 범죄자가 허가 없이 자금을 인출할 수 있음을 의미했습니다.
새로운 공격
발견된 지 불과 며칠 뒤인 30월 XNUMX일, DeFi 프로토콜이 다시 표적이 되었습니다.
에 따르면 보고서, 최신 해킹은 회사 가격 오라클 설정의 결함으로 인해 발생했으며, 이로 인해 공격자는 기존 LUNC와 새로운 LUNA 토큰 간의 가격 차이를 활용할 수 있었습니다.
Terra 노드는 더 이상 사용되지 않는 Oracle 소프트웨어를 실행하고 있었기 때문에 공격이 발생할 수 있었습니다. 이 공격을 발견한 Chainlink 커뮤니티 회원에 따르면 해커는 프로토콜에서 2만 달러 이상을 훔쳤습니다.
Terra/USD는 거의 제로에 가까운 충돌 이후 통합됩니다. 원천: TradingView
해킹이 짧은 기간 동안 눈에 띄지 않게 된 것은 이번이 처음이 아닙니다. 2022년 XNUMX월, 해커들은 600억 달러를 훔쳤습니다. Ronin 사이드체인에서 출시되었으며 누구나 알아차리는 데 일주일이 걸렸습니다. 사용자가 있을 때까지는 아니었지만 발견 그들은 돈을 인출할 수 없었고 누구든지 문제가 있다는 것을 깨달았습니다.
미러 프로토콜은 조사 중 증권거래위원회는 아직까지 이 같은 상황에 대해 공식적인 입장을 내놓지 않고 있다.
미러 프로토콜 팀은 아직 이 익스플로잇에 대한 성명을 발표하지 않아 커뮤니티의 분노를 불러일으켰습니다. 반면에 FatMan은 해커가 내부자였다는 "강력한 증거"가 있다고 믿습니다.
이것이 역사상 최초의 DeFi 익스플로잇은 아니지만, 발견되기까지 가장 오랜 시간이 걸린 익스플로잇입니다. 압력이 쌓이면서 테라는 많은 조사를 받고 있습니다.
관련 독서 | 그다지 만리장성이 아닌: 중국이 비트코인 채굴을 금지하는 데 비참하게 실패한 이유
Shutterstock의 주요 이미지와 TradingView.com의 차트
출처: https://bitcoinist.com/defi-build-on-terra-succumbed-to-a-90-million/