Протокол Mirror - REKT



Свет мой, зеркальце, скажи...

Украдено $90 миллионов, но об этом никто не доложил.

Два эксплоита нанесли удар по протоколу Mirror, но самый крупный из них сначала даже не заметили.

Когда было объявлено об атаке на мост Ronin, мы все были шокированы тем, что фонды пропали за неделю до того, как забили тревогу.

Протоколу Mirror понадобилось _семь месяцев для того, чтобы заметить потерю, и когда ее в конце концов заметили, никаких публичных сообщений они не сделали.

А затем, 232 дня спустя, на них снова напали.

Через день после сообщения о первой потере было украдено еще $2 миллиона.

Какой конфуз.

Разрабам Mirror нужно очень пристально посмотреть в...

Источник: FatManTerra, pedroexplore1

В первом эксплоите, проведенном 8 октября 2021 года, использовалось многократное разблокирование коллатерала, депонированного в обмен на короткие позиции в протоколе Mirror.

Контракт блокировки не содержал двойного проверочного вызова для выводов, что позволило злоумышленнику слить фонды, вложенные другими пользователями, с помощью многократного вызова unlock_position_funds для ID своей собственной позиции.

Транзакция атаки: 08DD2B70…

Пошаговый анализ можно посмотреть в этом посте, опубликованном BlockSec.

Несмотря на то, что уязвимость не была устранена, последующая атака не была проведена; баланс блокирующего контракта никогда не поднимался достаточно высоко, чтобы эксплуатировать его снова без оповещения пользовательской базы протокола.

Как отметил FatManTerra в Twitter:

"Все это прошло абсолютно незамеченным TFL (TerraForm Labs), командой Mirror и сообществом."

14 мая уязвимость была наконец, причем без лишнего шума, устранена, без упоминания о ней и об убытках в размере 90 миллионов долларов, которые она принесла всего семь месяцев назад.

Подозрения возникли, когда пользователи на форуме начали изучать исправление, что вызвало дискуссию о том, почему разработчики "тайно" ввели исправление, не объявив о нем.

В конечном итоге детали были опубликованы пользователем под ником FatMan 27 мая.

Однако, на следующий день после того, как стало известно о первоначальном инциденте, был замечен и последний эксплойт.

Хак Mirror номер два: подмена LUNA

Источник: Mirroruser, Blockpane, FatManTerra

Сначала “Mirroruser” запостил подробности на форуме Mirror, сообщив сообществу о потере фондов.

Из-за такого же неправильного отображения цены LUNC, которое привело к эксплоиту Anchor, LUNC была присвоена цена LUNA 2.0 в новом чейне, на тот момент ~5 USTC (примерно ~$0.10).

Проблема была связана с тем, что валидаторы Luna Classic использовали устаревший оракул, который не был обновлен для устаревшей цепочки.

Это значило, что пользователи могли купить дешевые LUNC, депонировать их как коллатерал и воспользоваться завышенной ценой, чтобы опустошить пулы Mirror. Были слиты mBTC, mETH, mDOT and mGLXY, содержавшиеся в протоколе, принеся злоумышленнику в общей сложности ~$2M прибыли.

После того, как на выходных стало известно об эксплоите, оракул успешно починили, но проблемы на этом не закончились.

Все mAssets (обернутые акции Mirror) все еще можно было украсть, потому что ими невозможно было торговать до того, как рынки откроются после длинных выходных. Опасность была в том, что украденные до этого фонды будут использованы, чтобы урвать оставшиеся, очень недооцененные mAssets.

И все же, всего за несколько минут до того, как рынки открылись во вторник, возможность использовать украденные фонды в качестве коллатерала была отключена, спасая остатки протокола.

Тот факт, что эксплоит 90 миллионов долларов прошел незамеченным пользователями (и, вероятно, разработчиками), является симптомом безрассудства, связанного с неудачами в экосистеме Terra.

Простота уязвимостей кажется не сопоставимой с нанесенным ущербом. Во первых, $90M были потеряны из-за элементарной логической ошибки. И затем, сделанный впопыхах форк привел к тому, что очень предсказуемая проблема с оракулом осталась незамеченной.

Даже перед лицом этих неудач Luna 2.0 пампит и, несмотря на потерю миллиардов долларов чужих денег До Квон остается таким же высокомерным как и прежде.

В погоне за спасением своей репутации Квон использует в своих интересах всех тех, кто пытается отыграть издержки кораблекрушения: разработчиков, которые потратили свое время, и розничных покупателей, которые вложили свои сбережения.

DeFi сегодня как будто потерял чувство цели. Наша репутация пострадала, и даже самые заинтересованные пользователи меньше доверяют нам.

Может быть мы и продвинулись в наших методах распределения богатства, но нашему моральному компасу очевидно все еще нужно обновление.

Представьте нашу индустрию без всего этого эго... Скольких потерь можно было бы избежать?


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.