Ym mis Hydref 2021, ildiodd cymhwysiad DeFi Mirror Protocol i ecsbloetio $ 90 miliwn ar hen blockchain Terra - ac ni chafodd ei sylwi tan yr wythnos diwethaf.
Roedd protocol drych yn caniatáu i ddefnyddwyr gymryd safleoedd hir neu fyr ar stociau technoleg gan ddefnyddio asedau synthetig. Fe'i hadeiladwyd ar Terra, a gwympodd yn gynharach y mis hwn ar ôl i'w brif stabal arian golli ei beg i ddoler yr Unol Daleithiau, gan lusgo ei chwaer docyn Luna i lawr ag ef. (Mae'r blockchain bellach wedi'i adfywio fel Terra 2.0, tra bod y gadwyn wreiddiol yn parhau fel Terra Classic).
Yr oedd y camfanteisio darganfod gan aelod o gymuned Terra a dadansoddwr o'r enw “FatMan.” Mae wedi bod yn un o'r antagonists mwyaf lleisiol yn lansiad diweddar y Terra blockchain newydd.
Cwmni diogelwch BlockSec ategol canfyddiadau'r aelod cymunedol trwy ddadansoddi'r trafodiad ecsbloetio penodol. Cadarnhaodd BlockSec fod camfanteisio wedi digwydd.
Sut digwyddodd y camfanteisio?
Pryd bynnag roedd rhywun eisiau betio yn erbyn stoc ar Mirror, roedd yn rhaid clo cyfochrog — gan gynnwys UST, LUNA Classic (LUNC), ac mAssets — am o leiaf 14 diwrnod.
Ar ôl i'r fasnach ddod i ben, gallai defnyddwyr ddatgloi'r cyfochrog i ryddhau'r arian yn ôl i'r waled. Gwnaethpwyd hyn i gyd gyda chymorth rhifau adnabod smart a gynhyrchwyd gan gontract.
Fodd bynnag, oherwydd cod bygi, honnir bod contract clo'r Mirror wedi methu â gwirio pan ddefnyddiodd rhywun yr un ID fwy nag unwaith i dynnu arian yn ôl.
Ym mis Hydref 2021, sylwodd un endid anhysbys y gallent ddefnyddio rhestr o IDau dyblyg i ddatgloi cannoedd o weithiau'n fwy cyfochrog nag oedd ganddynt dro ar ôl tro. Roedd hyn yn y bôn yn golygu y gallai'r tramgwyddwr dynnu arian yn ôl heb unrhyw awdurdodiad.
Draeniodd yr endid hwn tua $90 miliwn i gyd, yn ôl cofnodion blockchain.
Mynd heb i neb sylwi am saith mis
Mae'n bosibl bod camfanteisio'r Mirror yn un o'r digwyddiadau prin lle, er gwaethaf presenoldeb data ar gadwyn, arhosodd darnia mawr heb ei ddatgelu am amser hir. Fel arfer, mae prosiectau yn gyflym i adrodd am ddigwyddiadau diogelwch er mwyn tryloywder.
Dywedodd BlockSec fod y camfanteisio yn debygol o fynd heb ei sylwi oherwydd bod llai o bobl yn sganio am faterion ar Terra o'i gymharu â chadwyni sy'n gydnaws ag Ethereum ac Ethereum.
Yn ogystal, nid oedd unrhyw ryngwyneb ar wefan Mirror a oedd yn ei gwneud hi'n bosibl gwirio cyfanswm y cyfochrog yn y protocol. Roedd hyn yn ei gwneud hi'n llawer anoddach sylwi ar y bregusrwydd heb hidlo trwy lawer iawn o ddata blockchain.
Yn gynharach y mis hwn, gosododd datblygwyr Mirror y bregusrwydd yn dawel, tua'r un pryd ag y dechreuodd y UST stablecoin ddymchwel. Wythnos yn ddiweddarach ar ôl y clwt, dechreuodd aelodau'r gymuned feddwl tybed a allai fod wedi bod yn ecsbloetio, yn ôl trafodaeth lywodraethu. Nid yw'n glir a oedd datblygwyr Mirror yn gwybod am y camfanteisio.
Nid dyma, fodd bynnag, y tro cyntaf i hac fynd o dan y radar am gyfnod byr. Pan wnaeth hacwyr ddwyn $600 miliwn o gadwyn ochr Ronin ym mis Mawrth 2022, aeth wythnos heibio cyn i unrhyw un sylweddoli ei fod wedi digwydd. Dim ond pan ganfu defnyddwyr nad oeddent yn gallu codi eu harian y sylweddolodd unrhyw un fod yna ddiffyg.
Nid yw Mirror Protocol, sy'n destun ymholiad SEC, wedi gwneud sylw swyddogol ar y mater eto. Nid yw'r tîm yn Mirror neu Terraform Labs wedi ymateb eto i gais am sylw.
Am fwy o straeon sy'n torri fel hyn, gwnewch yn siŵr eich bod chi'n dilyn The Block on Twitter.
© 2022 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss