Mirror Protocol - REKT

Mirror mirror...

$90M robados, pero eso no es todo.

Dos exploits afectaron a Mirror Protocol, y el más grande de los dos ni siquiera se notó al principio.

Cuando se anunció el hack de Ronin Bridge, todos nos sorprendimos al escuchar que faltaban los fondos durante una semana antes de que se diera la alarma.

Mirror Protocol tardó siete meses en detectar la pérdida, y cuando finalmente se dieron cuenta, no anunciaron nada públicamente.

232 días después, volvieron a sufrir otro golpe.

El día después de que se reveló la primera pérdida, se tomaron otros $2M.

Qué vergüenza.

Los devs deberían contemplarse un buen rato en el Mirror...

Créditos: FatManTerra, pedroexplore1

El primer exploit, ejecutado el 8 de octubre de 2021, consistía en desbloquear repetidamente el colateral depositado contra posiciones shorts en Mirror Protocolo.

El contrato lock no contenía una revisión de calls duplicada de retiros, lo que permitía al atacante drenar los fondos depositados por otros usuarios llamando a un lock_position_funds para su propia ID de posición varias veces.

Tx de ataque: 08DD2B70…

Para obtener un análisis paso a paso, consulte esta publicación del blog de BlockSec.

A pesar de que la vulnerabilidad permaneció presente, no se realizó ningún seguimiento; el saldo del contrato lock nunca aumentó lo suficiente como para volver a explotar sin alertar a la base de usuarios del protocolo.

Como señaló FatManTerra en Twitter:

"Todo esto pasó completamente desapercibido para TFL, el equipo y la comunidad de Mirror".

El 14 de mayo, la vulnerabilidad fue finalmente reparada silenciosamente sin mencionar el bug ni la pérdida de $90M que se había producido siete meses antes.

Las sospechas surgieron cuando los usuarios en el foro comenzaron a investigar el bug-fix, lo que provocó una discusión sobre por qué los desarrolladores habían "pasado de contrabando" el fix sin un anuncio.

Finalmente, los detalles fueron publicados por FatMan el 27 de mayo.

Sin embargo, el día después de que estallara la noticia del incidente original, se detectó el último exploit.

Mirror Hack 2: LUNA Switcheroo

Fuentes: Mirroruser, Blockpane, FatManTerra

“Mirroruser” primero publicó los detalles en el foro de Mirror, alertando a la comunidad sobre la pérdida de fondos.

Debido al mismo mispricing de LUNC que condujo al exploit de Anchor, a LUNC se le asignó el valor de LUNA 2.0 en la nueva red, en ese momento ~5 USTC (aproximadamente ~$0,10).

El problema se debió a que los validadores de Luna Classic ejecutaban un Oracle desactualizado, que no se había actualizado para la red heredada.

Esto significaba que los usuarios podían comprar LUNC baratos, depositarlos como colateral y aprovechar la sobrevaluación para drenar los pools de Mirror. Se agotaron los mBTC, mETH, mDOT y mGLXY del protocolo, por un total de ~$2M para el atacante.

Después de la noticia del exploit durante el fin de semana, el oráculo fue reparado con éxito, pero los problemas no terminaron ahí.

Todos los mAssets (acciones envueltas en Mirror) aún estaban disponibles, y no se podían intercambiar hasta que los mercados abrieran después del fin de semana largo. La preocupación era que los fondos robados anteriormente se utilizaran para hacerse con los restantes mAssets, muy infravalorados.

Sin embargo, con solo unos minutos antes de que los mercados abrieran el martes, los fondos robados se desactivaron para usarlos como colateral, salvando lo que quedaba del protocolo.

El hecho de que un exploit de $90M pasará desapercibido para los usuarios (y probablemente para los desarrolladores) es un síntoma de la imprudencia asociada con las fallas en torno al ecosistema de Terra.

La simplicidad de las vulnerabilidades parece fuera de lugar en comparación con el daño que se ha hecho. En primer lugar, se perdieron $90M debido a un error de lógica básica, y luego, el fork apresurado condujo a descuidar un problema de Oracle muy previsible.

Incluso frente a estos fracasos, Luna 2.0 está bullish y, a pesar de haber perdido miles de millones de dólares del dinero de otras personas, Do Kwon sigue siendo tan arrogante como siempre.

En su apuro por reparar su reputación, Kwon se está aprovechando de todos aquellos que están atrapados luchando contra los costos irrecuperables; los desarrolladores que invirtieron su tiempo, y el retail, que invirtió sus ahorros.

DeFi hoy parece que ha perdido el propósito. Nuestra reputación está dañada, e incluso los usuarios más entusiastas tienen menos confianza.

Es posible que hayamos avanzado en nuestros métodos de distribución de la riqueza, pero claramente nuestra brújula moral todavía necesita una actualización.

Imagine nuestra industria sin todo el ego... ¿Cuánto de este daño podría haberse evitado?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.