DeFi المبني على Terra استسلم لـ 90 مليون دولار من إكسبلويت ، ولم يلاحظه أحد لمدة سبعة أشهر

تعرض بروتوكول Mirror Protocol ، وهو تطبيق DeFi مبني على سلسلة Terra blockchain القديمة ، للهجوم من خلال استغلال بقيمة 90 مليون دولار في أكتوبر 2021 ، وظل غير مكتشف تمامًا حتى الأسبوع الماضي. كان المهاجم قادرًا على فتح الضمانات من البروتوكول عدة مرات مع دفع رسوم بسيطة في كل مرة.

هجوم DeFi من Terra منذ سبعة أشهر

لم يتم الإبلاغ عن استغلال Terra DeFi الباهظ لمدة سبعة أشهر حتى الأسبوع الماضي. سمح بروتوكول Mirror ، المبني على Terra blockchain ، للمستخدمين بتوظيف الأصول الاصطناعية لاتخاذ مراكز طويلة أو قصيرة في الأسهم التقنية.

ومع ذلك ، تم اختراق آلية عمل البروتوكول مقابل 90 مليون دولار. تم اكتشاف هجوم DeFi لسلسلة Terra الأسبوع الماضي من قبل أحد أعضاء مجتمع Terra والمحلل المسمى "FatMan" ، وقد تم تأكيده الآن من قبل محللي الأمن BlockSec.

اعضاء المجتمعمكشوفة ضعف في كود بروتوكول Mirror في 17 مايو ، مما يسمح للمتسلل باستنزاف ما يصل إلى 90 مليون دولار بدءًا من 8 أكتوبر 2021.

وفقا ل FatMan ، الذييقول اكتشف الاختراق من خلال "الصدفة البحتة" ، حيث سرق المهاجم 89.706.164.03 دولارًا من البروتوكول بفضل استغلال سمح لهم بفتح ضمانات من عقد القفل "مرارًا وتكرارًا بتكلفة قليلة وبدون مخاطر."

إحصاءات تيرا كلاسيك على السلسلةمكشوف أن المهاجم كان قادرًا على تحرير أموال الخزانات الأرضية من البروتوكول عدة مرات في نفس المعاملة مقابل 17.54 دولارًا فقط في كل مرة.

من خلال دراسة معاملة الاستغلال الدقيقة ، قامت شركة BlockSec الأمنيةمؤكد النتائج التي توصل إليها أعضاء المجتمع.

كيف حدث ذلك

يتعين على المستخدمين قفل الضمانات لمدة أربعة عشر يومًا على الأقل من أجل المراهنة على سهم في Mirror. تم تضمين عملة Terra الرقمية الأصلية ، LUNA ، مع هذه الضمانات (الآن LUNA Classic أو LUNC). كما تم تضمين mAssets و UST المستقرة الآن.

تمكن المستخدمون من فتح الضمان وإعادة الأموال إلى محافظهم بمجرد اكتمال الصفقة.

علاوة على ذلك ، ساعد استخدام أرقام التعريف الذكية الناتجة عن العقود في هذا الإجراء. ومع ذلك ، لم يتمكن عقد قفل بروتوكول Mirror Protocol من التحقق مما إذا كان المستخدم قد استخدم سابقًا نفس المعرف لسحب الأموال بسبب وجود خطأ.

القراءة ذات الصلة |تستعد تايلاند للاقتصاد الرقمي ، وتزيل عمليات تحويل العملات المشفرة من ضريبة القيمة المضافة حتى نهاية عام 2023

ومع ذلك ، يبدو أن عقد القفل الخاص بـ Mirror فشل في التحقق عندما استخدم شخص ما نفس المعرف لسحب الأموال عدة مرات بسبب خطأ في الرمز.

في أكتوبر 2021 ، اكتشف كيان غير معروف أنه يمكن استخدام قائمة من المعرّفات المكررة لإلغاء تأمين الضمانات الإضافية بمئات المرات أكثر مما كان لديه. هذا يعني في الأساس أن المجرم قد يسحب الأموال دون إذن.

هجوم جديد

في 30 مايو ، بعد أيام فقط من الاكتشاف ، تم استهداف بروتوكول DeFi مرة أخرى.

وفقتقارير أحدث الاختراق كان مدفوعًا بخلل في تحديد سعر أوراكل للشركة ، مما سمح للمهاجم بالاستفادة من تباين السعر بين رموز LUNC القديمة و LUNA الجديدة.

كانت عقد Terra تشغل برنامج أوراكل قديمًا ، مما سمح للهجوم بالحدوث. سرق المتسلل ما يزيد عن مليوني دولار من البروتوكول ، وفقًا لعضو مجتمع Chainlink الذي اكتشف الهجوم.

تماسك Terra / USD بعد انهيار قريب من الصفر. مصدر:TradingView

هذه ليست المرة الأولى التي يمر فيها الاختراق دون أن يلاحظه أحد لفترة وجيزة من الزمن. في مارس 2022 ،قراصنة سرقوا 600 مليون دولار من سلسلة رونين الجانبية ، واستغرق الأمر أسبوعًا حتى يلاحظ أي شخص. لم يكن الأمر كذلك حتى المستخدميناكتشف لم يتمكنوا من سحب أموالهم لدرجة أن أي شخص أدرك أن هناك مشكلة.

بروتوكول المرآة ، وهويجري التحقيق من قبل لجنة الأوراق المالية والبورصات ، لم يصدر بعد بيان رسمي حول الوضع.

لم يصدر فريق Mirror Protocol بيانًا بشأن الاستغلال ، مما أثار غضب المجتمع. من ناحية أخرى ، تعتقد FatMan أن هناك "دليلًا دامغًا" على أن المتسلل كان من الداخل.

في حين أن هذا ليس أول استغلال لـ DeFi في التاريخ ، إلا أنه استغرق وقتًا أطول ليتم اكتشافه. تخضع تيرا للكثير من التدقيق مع تراكم الضغط.

القراءة ذات الصلة |ليس سور الصين العظيم: كيف فشلت الصين فشلاً ذريعًا في حظر تعدين البيتكوين

صورة مميزة من Shutterstock ومخطط من TradingView.com