Взлом DeFi-протокола на сумму $90 млн в Terra остался незамеченным

В октябре 2021 года DeFi-приложение Mirror Protocol стало жертвой уязвимости на сумму $ 90 млн в старом блокчейне Terra, и до прошлой недели это событие оставалось незамеченным.

Mirror Protocol позволял пользователям открывать длинные или короткие позиции по акциям технологических компаний, используя синтетические активы. Он был построен на Terra, которая рухнула в начале этого месяца после того, как её основной стейблкоин потерял привязку к доллару США, потащив за собой нативный токен Luna.

Уязвимость была обнаружена членом сообщества Terra и аналитиком по имени FatMan, который был одним из самых ярых противников недавнего запуска нового блокчейна Terra.

В исследовательской компании BlockSec подтвердили выводы члена сообщества, проанализировав конкретную транзакцию.

Всякий раз, когда кто-то хотел сделать ставку на акцию в Mirror, он должен был заблокировать обеспечение, в том числе в UST, LUNA Classic (LUNC) и mAssets, как минимум на 14 дней.

После завершения сделки пользователи могли разблокировать залог, чтобы перевести средства обратно на кошелёк. Всё это было сделано с помощью идентификационных номеров, сгенерированных смарт-контрактом.

Однако из-за ошибки в коде контракт блокировки Mirror не проводил проверку, когда кто-то использовал один и тот же идентификатор для вывода средств более одного раза.

Согласно обозревателю блокчейна, преступник мог вывести средства на сумму около $ 90 млн. Особенность этой уязвимости заключается в том, что крупный взлом долгое время оставался нераскрытым.

В этом месяце разработчики Mirror незаметно исправили уязвимость примерно в то же время, когда стейблкоин UST начал рушиться. До конца неясно, знали ли разработчики Mirror о проблеме.