Mirror Protocol, aplikasi DeFi yang dibangun di atas blockchain Terra lama, diserang oleh eksploitasi $90 juta pada Oktober 2021, dan tetap tidak ditemukan hingga minggu lalu. Penyerang dapat membuka jaminan dari protokol beberapa kali sambil hanya membayar sedikit biaya setiap kali.
Eksploitasi Terra DeFi yang mahal tidak dilaporkan selama tujuh bulan hingga minggu lalu. Mirror Protocol, dibangun di atas blockchain Terra, memungkinkan pengguna menggunakan aset sintetis untuk mengambil posisi long atau short di saham teknologi.
Namun, mekanisme operasi protokol diretas seharga $90 juta. Serangan Terra chain DeFi pertama kali ditemukan minggu lalu oleh anggota komunitas Terra dan analis bernama "FatMan", dan kini telah dikonfirmasi oleh analis keamanan BlockSec.
Anggota komunitasterbongkar kelemahan dalam kode Mirror Protocol pada 17 Mei, yang memungkinkan peretas menguras hingga $90 juta mulai 8 Oktober 2021.
Menurut FatMan, siapakata dia menemukan peretasan dengan "kebetulan murni", penyerang mencuri $89.706.164,03 dari protokol berkat eksploit yang memungkinkan mereka membuka jaminan dari kontrak kunci "berulang kali dengan sedikit biaya dan tanpa risiko".
Statistik on-chain Terra Classicterungkap bahwa penyerang dapat melepaskan dana UST dari protokol berkali-kali dalam transaksi yang sama hanya dengan $17,54 setiap kali.
Dengan mempelajari transaksi eksploitasi yang tepat, firma keamanan BlockSecdikonfirmasi temuan anggota masyarakat.
Pengguna harus mengunci agunan setidaknya selama empat belas hari untuk bertaruh melawan saham di Mirror. Mata uang digital Terra asli, LUNA, disertakan dengan agunan ini (sekarang LUNA Classic atau LUNC). mAssets dan stablecoin UST yang sekarang sudah tidak berfungsi juga terlibat.
Pengguna dapat membuka jaminan dan mengembalikan uang ke dompet mereka setelah perdagangan selesai.
Selain itu, penggunaan nomor ID yang dihasilkan kontrak pintar membantu prosedur ini. Kontrak kunci dari Mirror Protocol, bagaimanapun, tidak dapat memeriksa apakah pengguna sebelumnya menggunakan ID yang sama untuk menarik dana karena adanya bug.
Bacaan Terkait |Thailand Mempersiapkan Diri Untuk Ekonomi Digital, Menghapus Transfer Kripto Dari PPN Hingga Akhir 2023
Namun, kontrak kunci Mirror tampaknya gagal untuk memeriksa ketika seseorang menggunakan ID yang sama untuk menarik dana berkali-kali karena kesalahan kode.
Pada Oktober 2021, sebuah entitas tak dikenal menemukan bahwa daftar ID duplikat dapat digunakan untuk berulang kali membuka jaminan ratusan kali lebih banyak daripada yang mereka miliki. Ini pada dasarnya berarti bahwa penjahat dapat menarik dana tanpa izin.
Pada 30 Mei, hanya beberapa hari setelah penemuan, protokol DeFi menjadi sasaran lagi.
Berdasarkanlaporan, peretasan terbaru dipicu oleh cacat dalam pengaturan oracle harga perusahaan, yang memungkinkan penyerang memanfaatkan perbedaan harga antara LUNC lama dan token LUNA baru.
Node Terra menjalankan perangkat lunak oracle yang sudah usang, yang memungkinkan serangan terjadi. Peretas mencuri lebih dari $2 juta dari protokol, menurut anggota komunitas Chainlink yang menemukan serangan itu.
Terra/USD berkonsolidasi setelah crash hampir nol. Sumber:Tampilan Perdagangan
Ini bukan pertama kalinya peretasan tidak diperhatikan dalam waktu singkat. Pada Maret 2022,peretas mencuri $ 600 juta dari rantai samping Ronin, dan perlu seminggu bagi siapa pun untuk menyadarinya. Tidak sampai penggunatelah menemukan mereka tidak dapat menarik uang mereka sehingga siapa pun menyadari ada masalah.
Protokol Cermin, yaitusedang diselidiki oleh Securities and Exchange Commission, belum membuat pernyataan resmi tentang situasi tersebut.
Tim Mirror Protocol belum mengeluarkan pernyataan terkait eksploitasi tersebut, yang memicu kemarahan masyarakat. FatMan, di sisi lain, percaya bahwa ada "bukti kuat" bahwa peretas itu adalah orang dalam.
Meskipun ini bukan eksploitasi DeFi pertama dalam sejarah, ini adalah salah satu yang paling lama ditemukan. Terra berada di bawah banyak pengawasan saat tekanan menumpuk.
Bacaan Terkait |Tembok Tidak Begitu Besar: Bagaimana China Gagal total Melarang Penambangan Bitcoin
Gambar unggulan dari Shutterstock dan bagan dari TradingView.com
Is Thailand entering the next phase of digital asset growth? Binance Thailand’s CEO notes a shift from retail to institutional investment, positioning the country as a key player and aspiring fintech hub in Southeast Asia.
CatherineCoinbase's new 'Based Agent' tool enables users to create autonomous AI agents on its Ethereum Layer-2 Base network in under three minutes. Supporting multiple blockchains, it also aims to enhance wallet security. Could this set a new standard for blockchain security?
Catherine研究公司 TechInsights 近期揭露华为最新的 AI 加速器中含有台积电制造的芯片,这可能违反了美国对华为的出口管制,引发美国国会强烈反应。台积电对此回应称,该芯片原为特定客户生产,但意外出现在华为产品中,公司已停止供应并将此事通报美国政府。
Alex比特币今晨(28日)一度涨至68,344美元,接近前高点。Kraken分析师指出,只要比特币稳于66,500美元之上,牛市趋势可望延续,进一步挑战3月的73,679美元历史高位。
MiyukiFTX’s $228 million settlement with Bybit moves it closer to repaying former customers, with plans to distribute $12.6 billion within 60 days of a pending effective date.
Kikyo还记得那个用胶带贴住香蕉的讽刺性艺术作品《Comedian》吗?这件作品即将由苏富比拍卖,而苏富比副总裁Michael Bouhanna借机推出迷因币$BAN,通过内部钱包交易,在短时间内获利超百万美元。
WeiliangWazirX faces ongoing challenges after a recent hack, as affected users plan to sue for over $600,000 in cryptocurrency assets. They seek both damages and full restoration of their crypto balances, with more victims expected to join the lawsuit as it progresses.
CatherineSigned by Putin, Russia's new legislation imposes stricter controls on cryptocurrency mining, permitting only registered entities to operate and enforcing regional restrictions. It allows local authorities to temporarily shut down mining rigs during power shortages and strengthens government monitoring to combat money laundering and terrorist financing.
Kikyo《华尔街日报》指出,截至今年6月底的一年间,约有2540亿美元资金从中国流出,远超2015至2016年房市低迷时期的资本外逃水平,部分高净值人士利用加密货币和艺术品等监管薄弱领域实现资金外迁。
AlexGhost in the Shell enters the NFT arena with the "AnimeTraits" collection, launching exclusively on SORAH by Animoca Brands Japan on 31 October. Featuring 500 character NFTs from the series, each will be available for 0.018 ETH, giving fans a unique digital collectible from the iconic anime.
Catherine