MIRROR PROTOCOL - REKT
Ayna ayna söyle bana…
90 milyon dolar kimlerin cüzdanında?! Ama sadece bununla da bitmiyor.
İki istismar Mirror Protocol'ü vurdu ve bunlardan büyük olanı ilk başta hiç fark edilmemişti bile.
Ronin Bridge hack'i duyurulduğunda, alarmlar çalmadan önce, zaten fonların bir haftadır eksik olduğunu duyunca hepimiz şok olmuştuk.
Mirror Protocol'ün kaybı tespit etmesi ise tam yedi ay sürdü ve sonunda fark ettiklerinde ise hiçbir şey duyurmadılar.
Ve 232 gün geçtikten sonra tekrar vuruldular.
İlk kaybın açıklanmasından sonraki gün, 2 milyon dolar daha alındı.
Nasıl da utanç verici.
Mirror geliştiricilerinin aynayı bir kendilerine çevirip uzun uzun bakmaları gerekiyor…
Kaynak: FatManTerra, pedroexplore1
8 Ekim 2021'de gerçekleştirilen ilk istismar, Mirror Protocol'deki short pozisyonlara karşı yatırılan teminat kilitlerinin tekrar tekrar açılması ile ilgiliydi.
Kilit sözleşmesi para çekme işlemleri için yinelenen bir çağrı kontrolü içermediğinden dolayı, saldırganın, kendi position ID’si için unlock_position_funds'ı birden çok kez çağırarak diğer kullanıcılar tarafından yatırılan fonları boşaltmasına olanak tanımıştı.
Saldırı işlemi: 08DD2B70…
Adım adım analiz için bu BlockSec gönderisine bakabilirsiniz.
Güvenlik açığının hâlâ var olmasına rağmen, herhangi bir takip eden saldırı ; kilit sözleşmesinin bakiyesi, protokol kullanıcı tabanını uyarmadan bir daha istismar için asla yeterince yüksek seviyeye ulaşmadı.
FatManTerra'nın Twitter'da belirttiği gibi:
“Bütün bunlar TFL ve Mirror ekibi ve topluluğu tarafından hiçbir şekilde fark edilmedi.”
14 Mayıs'ta, güvenlik açığı nihayet ve sessizce düzeltildi, hatadan veya sadece yedi ay önce yarattığı 90 milyon dolarlık kayıptan ise söz edilmedi.
Forumdaki kullanıcılar hata düzeltmesini incelemeye başladığında şüpheler ortaya çıktı ve geliştiricilerin bir duyuru yapmadan düzeltmeyi neden "kaçak göçek" yaptığına dair bir tartışma başlattılar.
Sonunda, ayrıntılar 27 Mayıs'ta FatMan tarafından ifşa edildi.
Ancak, asıl olayla ilgili haberin yayınlanmasından bir gün sonra, son istismar tespit edildi.
Mirror Hack 2: LUNA’nın beklenmedik değişimi
Kaynak: Mirroruser, Blockpane, FatManTerra
“Mirroruser”, ilk önce ayrıntıları Mirror forumuna göndererek topluluğu fon kaybıyla ilgili olarak uyardı.
Anchor istismarına yol açan LUNC'nin aynı yanlış fiyatlandırması nedeniyle, LUNC'ye yeni yapılandırılan zincirde yaklaşık 5 USTC (yaklaşık 0,10$) iken, LUNA 2.0 değeri atandı.
Sorun, eski zincir için güncellenmemiş, tarihi geçmiş bir oracle çalıştıran Luna Classic validatörlerinden kaynaklanıyordu.
Bu kullanıcıların ucuz LUNC satın alabilecekleri, teminat olarak yatırabilecekleri ve Mirror'ın havuzlarını boşaltmak için aşırı değerlemeden yararlanabilecekleri anlamına geliyordu. Protokolün mBTC, mETH, mDOT ve mGLXY'si boşaltıldı ve saldırgan için kâr toplam yaklaşık 2 milyon dolar oldu.
Hafta sonu gelen istismar haberlerinden sonra, oracle başarıyla düzeltildi, ancak sorunlar burada bitmedi.
Tüm m-varlıkları (Mirror wrapleri) hâlâ alım için açıktı ve uzun hafta sonunu takiben piyasalar açılana kadar trade işlemi göremedi. Asıl endişe, daha önce çalınan fonların kalan, büyük ölçüde düşük değerli m-varlıkları kapatmak için kullanılmasıydı.
Ancak, Salı günü piyasaların açılmasına sadece birkaç dakika kala, çalınan fonların teminat olarak kullanılması devre dışı bırakıldı ve protokolden geriye kalanlar kurtarıldı.
90 milyon dolarlık bir istismarın kullanıcılar (ve muhtemelen geliştiriciler) tarafından fark edilmemesi, Terra ekosistemindeki başarısızlıklarla ilişkili pervasızlığın belirtisidir.
Güvenlik açıklarının basitliği ve verilen hasar karşılaştırıldığında durum oldukça abes görünüyor. İlk olarak, temel bir mantıksal bug nedeniyle 90 milyon dolar kaybedildi ve ardından aceleye getirilmiş çatal, oldukça öngörülebilir bir oracle sorununun bile gözden kaçmasına yol açtı.
Bu hezimetler karşısında bile, Luna 2.0 pompalanıyor ve diğer insanların milyarlarca dolar parasını kaybetmesine rağmen Do Kwon her zamanki gibi burnu havada kibrini korumaya devam ediyor.
İtibarını onarmak için acele eden Kwon, zamanlarını harcayan geliştiriciler ve tasarruflarını yatıran bireysel kullanıcılar gibi batık maliyetlerle savaşmak zorunda kalan herkesten faydalanıyor.
DeFi bugünlerde amacı doğrultusunda ilerlemiyormuş gibi hissettiriyor. İtibarımız zarar gördü ve en hevesli kullanıcılar bile sırtlarını çevirmeye başladı.
Servet dağıtım yöntemlerimizi geliştirmiş olabiliriz, ancak ahlaki pusulamızın hala bir güncellemeye ihtiyacı var
Sektörümüzün tüm bu egolardan arındırılmış olduğunu bir hayal edin… O zaman bu uğradığımız zararların ne kadarı var olabilirdi?
REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.
bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
sorumluluk reddi:
REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.