В октябре 2021 года DeFi-приложение Mirror Protocol стало жертвой уязвимости на сумму $ 90 млн в старом блокчейне Terra, и до прошлой недели это событие оставалось незамеченным.
Mirror Protocol позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на Terra, которая рухнула в начале этого месяца после того, как её основной стейблкоин потерял привязку к доллару США, потащив за собой нативный токен Luna.
Уязвимость была обнаружена членом сообщества Terra и аналитиком по имени FatMan, который был одним из самых ярых противников недавнего запуска нового блокчейна Terra.
В исследовательской компании BlockSec подтвердили выводы члена сообщества, проанализировав конкретную транзакцию.
Всякий раз, когда кто-то хотел сделать ставку на акцию в Mirror, он должен был заблокировать обеспечение, в том числе в UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней.
После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно на кошелёк. Всё это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом.
Однако из-за ошибки в коде контракт блокировки Mirror не проводил проверку, когда кто-то использовал один и тот же идентификатор для вывода средств более одного раза.
Согласно обозревателю блокчейна, преступник мог вывести средства на сумму около $ 90 млн. Особенность этой уязвимости заключается в том, что крупный взлом долгое время оставался нераскрытым.
В этом месяце разработчики Mirror незаметно исправили уязвимость примерно в то же время, когда стейблкоин UST начал рушиться. До конца неясно, знали ли разработчики Mirror о проблеме.
Редактор. Переводчик. Криптоинвестор.
Макс
Ну если бы этот взлом действительно остался незамеченным – то и статьи об этом не было бы 😜