上周,一名 Terra 社区成员意外发现了某个被疏忽七个月的 DeFi 漏洞,并且得到了 BlockSec 安全分析师的证实。2021 年 10 月,DeFi 应用程序 Mirror Protocol 在旧 Terra 区块链上遭受了 9000 万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,Mirror Protocol 允许用户使用合成资产,对科技股进行做多或做空。
Mirror Protocol 建立在 Terra 区块链之上,然而在 TerraUSD(UST)稳定币失去与美元的锚定之后,其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。
在经历了混乱的几周后,社区投票通过了硬分叉的 Terra 2.0 以消弭影响,而原始链则倍改名为 Terra Classic 。
本文提到的漏洞,由 Terra 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链,他也是最直言不讳的反对者之一。
同时安全公司 BlockSec 通过分析特定的漏洞利用交易,证实了 FatMan 的这一发现。
可知每当有人想要在 Mirror 上做空时,其必须将包括UST、LUNA Classic(LUNC)和 mAssets 在内的抵押品锁定至少 14 天。
交易结束后,用户可解锁抵押品、并将资产释放回钱包,且所有相关操作都是在智能合约生成的 ID 号的帮助下完成的。
然而由于代码上的 Bug,报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。
于是 2021 年 10 月,某个不知名的实体发现了这一漏洞,并借此利用重复 ID 列表来反复解锁数以百倍的抵押品 —— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。
后续的区块链记录表明,该实体总共撬走了约 9000 万美元的资金。然而更让人感到无语的是,这一漏洞直到七个月后才被人曝光。
通常情况下,为透明起见,项目放都会尽快向公众通报安全事件 —— 即便类似 Mirror Protocol 漏洞的事件相当罕见。
BlockSec 指出:与 ETH 和兼容区块链相比,在 Terra 上扫描相关问题的人较少,因而该漏洞才迟迟未被公众所知晓。
此外 Mirror 网站上没有可以查看协议中抵押品总量的界面,这使得在不筛选大量区块链数据的情况下,更难发现相关漏洞。
本月早些时候,大约在 UST 稳定币开始崩溃的同时,Mirror 开发人员悄悄修复了该漏洞 —— 补丁发布一周后,社区成员开始怀疑是否存在漏洞。
当然,这并不是黑客首次盯上加密货币的区块链协议。比如 2022 年 3 月,在黑客从 Ronin 侧链窃走 6 亿美元之后一周,无法提取资金的人们才意识到有糟糕的事情发生。
最后,被美国证券交易委员会(SEC)调查的 Mirror Protocol 尚未就此事发表官方评论。
The Block 向 Mirror / Terraform Labs 团队发去了置评请求,但截止发稿时,它们都未予置评。
