Mirror Protocol - REKT



Miroir, mon beau miroir...

90 millions de dollars ont été volés, mais ce n'est pas tout.

Deux exploits ont affecté le protocole Mirror, sans que le plus important des deux ne soit d'abord remarqué.

Nous avons tous été choqués d'apprendre, lors de l'annonce du hack de Ronin Bridge, que les fonds avaient disparu pendant une semaine avant que la sonnette d'alarme ne soit tirée.

Il aura fallu sept mois à Mirror Protocol pour s'apercevoir de la perte, et, quand ils l'ont enfin remarqué, ils n'ont rien annoncé publiquement.

Et puis, 232 jours plus tard, ils ont été attaqués de nouveau.

Au lendemain de la révélation de la première perte, 2 millions de dollars supplémentaires ont été volés.

Tout cela est vraiment embarrassant.

Les développeurs de Mirror ont besoin de se regarder longuement dans le...

Source : FatManTerra, pedroexplore1

Le premier exploit, exécuté le 8 octobre 2021, consistait à déverrouiller à plusieurs reprises des collatéraux déposés contre des positions short sur Mirror Protocol.

Le contrat de lock ne contenait pas de duplication de call check pour les retraits, ce qui a permis à l'assaillant de drainer les fonds déposés par d'autres utilisateurs en callant unlock_position_funds pour son propre ID de position plusieurs fois.

Transaction d'attaque : 08DD2B70...

Pour une analyse pas à pas, consultez cet article du blog de BlockSec.

En dépit du fait que la vulnérabilité soit restée active, aucune attaque de suivi n'a été effectuée ; le solde du contrat de lock n'a jamais atteint un niveau suffisamment élevé pour être exploité à nouveau sans alerter la base d'utilisateurs du protocole.

Comme FatManTerra l'a souligné sur Twitter :

Tout cela est passé complètement inaperçu aux yeux de TFL, de l'équipe et de la communauté de Mirror.

La vulnérabilité a finalement été corrigée le 14 mai, en toute discrétion, sans aucune mention du bug ni de la perte de 90 millions de dollars que celle-ci avait engendrée sept mois auparavant.

Des soupçons ont été émis lorsque des utilisateurs du forum ont commencé à se pencher sur la correction du bug, provoquant une discussion sur la raison qui avait poussé les développeurs à introduire la correction “en douce” sans l'annoncer.

Finalement, les détails ont été publiés par FatMan le 27 mai.

Mais le lendemain de l'annonce de l'incident initial, le dernier exploit a été identifié.

Miroir Hack Deux : LUNA Switcheroo

Source : Mirroruser, Blockpane, FatManTerra

"Mirroruser" a d'abord posté les détails sur le forum Mirror, alertant la communauté de la perte de fonds.

En raison de la même erreur de calcul du prix de LUNC qui a conduit à l'exploit Anchor, LUNC s'est vu attribuer la valeur de LUNA 2.0 sur la nouvelle blockchain, à l'époque ~5 USTC (environ ~0,10 $).

Le problème était dû au fait que les validateurs de Luna Classic utilisaient un oracle obsolète, qui n'avait pas été mis à jour pour l'ancienne blockchain.

Cela signifie que les utilisateurs pouvaient acheter des LUNC à bas prix, les déposer en tant que collatéral, et profiter de la surévaluation pour drainer les pools de Mirror. Les mBTC, mETH, mDOT et mGLXY du protocole ont été drainés, pour un montant total d'environ 2 millions de dollars revenant à l'assaillant.

L'oracle, suite à l'annonce de l'exploit au cours du week-end, a été corrigé avec succès, mais les problèmes ne se sont pas arrêtés là.

Tous les mAssets (des actions Mirror-wrappés) étaient toujours à saisir, ne pouvant être tradés avant l'ouverture des marchés après le long week-end. La crainte était que les fonds précédemment volés soient utilisés pour s'emparer des mAssets restants qui étaient largement sous-évalués.

Cependant, à quelques minutes de l'ouverture des marchés le mardi, les fonds volés ont été désactivés pour être utilisés comme collatéral, sauvant ainsi ce qui restait du protocole.

Le fait qu'un exploit de 90 millions de dollars soit passé inaperçu aux yeux des utilisateurs (et probablement des développeurs) est symptomatique de l'imprudence associée aux défaillances de l'écosystème Terra.

La simplicité des vulnérabilités semble déplacée par rapport aux dommages qu'elles ont causés. Tout d'abord, 90 millions de dollars ont été perdus à cause d'un bug logique de base, et, ensuite, un fork à la hâte a conduit à l'oubli d'un problème d'oracle très prévisible.

Malgré ces échecs, Luna 2.0 est en train de pumper et, bien qu'ayant perdu des milliards de dollars d'argent appartenant à d'autres personnes, Do Kwon est plus arrogant que jamais.

Dans son empressement à redorer son blason, Kwon profite de tous ceux qui sont coincés à lutter contre les coûts irrécupérables : les développeurs qui ont investi leur temps, et les particuliers, qui ont investi leurs économies.

La DeFi a aujourd'hui l'impression d'avoir perdu le sens de sa mission. Notre réputation est entachée, et même les utilisateurs les plus enthousiastes ont moins de foi.

Nous avons peut-être fait progresser nos méthodes de distribution de la richesse, mais notre boussole morale a clairement besoin d'une mise à jour.

Imaginez notre industrie sans tout cet ego... Combien de ces dégâts auraient pu être évités ?


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.