搜索
NFT元宇宙Web3
近期热门

Terra上一个价值9000万美元的DeFi漏洞在七个月内未被注意到

Founder
Terra上一个价值9000万美元的DeFi漏洞在七个月内未被注意到

内容速览:

  • 该漏洞是上周由Terra社区成员意外发现的。
  • 它已被安全分析机构BlockSec证实。

2021年10月,DeFi应用Mirror Protocol在旧Terra区块链上遭受到了一个价值9000万美元的漏洞攻击——直到上周才被世人完全注意到。

Mirror Protocol允许用户使用合成资产对代币行多头或空头操作。它建立在Terra之上,本月初在其主要稳定币失去与美元挂钩后崩溃,并将其姐妹代币Luna也拖下水。(该区块链现在已经作为Terra 2.0恢复了,而原来的链作为Terra Classic继续存在)。

这个漏洞是由一个名为 “FatMan “的Terra社区成员和分析师发现的。他是最近推出的新Terra区块链中最强烈的反对者之一。

安全公司BlockSec通过分析具体的漏洞交易证实了该社区成员的发现。

漏洞是如何发生的?

每当有人想在Mirror上对赌一只代币时,他们必须锁定抵押品–包括UST、LUNA Classic(LUNC)和mAssets–至少14天。

交易结束后,用户可以解锁抵押品,将资金释放到钱包中。所有这些都是在智能合约生成的ID号码的帮助下完成的。

然而,由于代码存在漏洞,据称Mirror的锁定合约未能在有人多次使用同一ID提取资金时进行检查。

2021年10月,一个未知的实体注意到,他们可以使用重复的ID列表,反复解锁比他们多几百倍的抵押品。这基本上意味着肇事者可以在没有任何授权的情况下提取资金。

根据区块链记录,这个实体总共耗费了约9000万美元。

七个月不被注意

Mirror的漏洞可能是罕见的事件之一,尽管存在链上数据,但一个重大的黑客仍然长期未被披露。通常情况下,为了透明起见,项目会迅速报告安全事件。

BlockSec说,这个漏洞可能没有被注意到,因为与以太坊和以太坊兼容链相比,在Terra上扫描问题的人更少。

此外,Mirror网站上没有任何界面,可以检查协议中的抵押品总量。这使得在不筛查大量区块链数据的情况下,更难注意到这个漏洞。

本月早些时候,Mirror的开发者悄悄地修复了这个漏洞,大约在UST稳定币开始崩溃的同一时间。根据治理讨论,补丁后一周,社区成员开始怀疑是否有可能存在漏洞。目前还不清楚Mirror的开发者是否知道这个漏洞。

然而,这并不是第一次有黑客在短时间内不被人注意。2022年3月,当黑客从Ronin侧链中窃取6亿美元时,一个星期后才有人意识到它的发生。只有当用户发现他们无法提取他们的资金时,才有人意识到有资金缺口。

作为美国证券交易委员会调查对象的Mirror Protocol,尚未就此事发表官方评论。Mirror或Terraform Labs的团队还没有回应评论请求。

编辑于 2022-05-31 05:55
「 真诚赞赏,手留余香 」
赞赏

发表评论已发布0

手机APP 意见反馈 返回顶部 返回底部