DeFi-приложение Mirror Protocol на базе старой версии блокчейна Terra подверглось атаке и потеряло $90 млн в октябре 2021 года, однако этот факт оставался незамеченным до прошлой недели.
Mirror Protocol позволял пользователям занимать длинные и короткие позиции на акции технологических компаний при помощи синтетических активов. Проект основывался на блокчейне Terra, который оказался в центре внимания в этом месяце на фоне отвязки стейблкоина UST и обвала токена LUNA. Новая версия Terra была запущена на выходных, в то время как оригинальную сеть было решено называть Terra Classic.
На свидетельства произошедшей атаки случайно наткнулся участник сообщества Terra под ником FatMan, являющийся одним из самых активных противников перезапуска сети. Его наблюдения проверили и подтвердили специалисты фирмы по кибербезопасности BlockSec.
Суть эксплойта заключалась в следующем. Когда пользователь хотел открыть короткую позицию в Mirror Protocol, он должен был внести залог минимум на 14 дней. После завершения операции токены можно было вывести обратно в кошелек. Чтобы установить владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Однако в коде содержался баг, из-за которого смарт-контракт не проверял, использовался ли конкретный идентификатор для вывода активов ранее. В октябре 2021 года об этом стало известно хакеру, который путем многократного использования одних и тех же идентификаторов вывел из Mirror Protocol сумму, в сотни раз превышавшую объем его собственного обеспечения – в общей сложности около $90 млн.
По мнению экспертов BlockSec, о случившемся не было известно долгое время из-за того, что в целом анализу данных в блокчейне Terra уделяется меньше внимания, чем, например, в сети Ethereum. Кроме того, на сайте Mirror не выводились данные о сумме внесенного пользователями залога.
Разработчики Mirror Protocol без отдельных объявлений устранили уязвимость в текущем месяце примерно в то же время, когда произошла отвязка UST. При этом неясно, было ли им известно об атаке.
В марте похожая ситуация произошла с сайдчейном Ronin популярной игры Axie Infinity, из которого было похищено около $600 млн. Факт атаки вскрылся только после того, как пользователи начали испытывать трудности с выводом средств около недели спустя.
