Vào tháng 10 năm 2021, ứng dụng Mirror Protocol của DeFi đã bị hack 90 triệu đô la trên Blockchain Terra cũ – và nó hoàn toàn không được biết đến cho đến tuần trước.
Mirror Protocol cho phép người dùng nắm giữ các vị thế mua hoặc bán trên các cổ phiếu công nghệ bằng cách sử dụng tài sản tổng hợp. Nó được xây dựng trên Terra. (Blockchain hiện đã được hồi sinh với tên Terra 2.0, trong khi chuỗi ban đầu tồn tại với tên Terra Classic).
Việc khai thác được phát hiện bởi một thành viên cộng đồng Terra và nhà phân tích có tên “FatMan”. Anh ấy là một trong những nhân vật phản đối mạnh mẽ nhất trong sự kiện ra mắt blockchain Terra mới gần đây.
Công ty bảo mật BlockSec đã chứng thực những phát hiện của thành viên cộng đồng bằng cách phân tích giao dịch khai thác cụ thể. BlockSec xác nhận rằng một vụ hack đã thực sự diễn ra.
Việc hack diễn ra như thế nào?
Bất cứ khi nào ai đó muốn đặt cược vào một cổ phiếu trên Mirror, họ phải khóa tài sản thế chấp – bao gồm UST, LUNA Classic (LUNC) và mAssets – trong tối thiểu 14 ngày.
Sau khi giao dịch kết thúc, người dùng có thể mở khóa tài sản thế chấp để giải phóng tiền về ví. Tất cả điều này đã được thực hiện với sự trợ giúp của số ID do hợp đồng thông minh tạo.
Tuy nhiên, do mã lỗi, hợp đồng khóa của Mirror bị cáo buộc không thể kiểm tra khi ai đó sử dụng cùng một ID nhiều lần để rút tiền.
Vào tháng 10 năm 2021, một thực thể không xác định nhận thấy rằng họ có thể sử dụng danh sách các ID trùng lặp để liên tục mở khóa tài sản thế chấp nhiều hơn hàng trăm lần so với những gì họ có. Về cơ bản, điều này có nghĩa là thủ phạm có thể rút tiền mà không cần bất kỳ ủy quyền nào.
Hacker này đã thu về tổng cộng khoảng 90 triệu đô la, theo hồ sơ blockchain.
Vụ hack đã không được phát hiện trong 7 tháng
Việc khai thác Mirror có thể là một trong những sự kiện hiếm hoi mà mặc dù có sự hiện diện của dữ liệu trên chuỗi, một vụ hack lớn vẫn không được tiết lộ trong một thời gian dài. Thông thường, các dự án thường nhanh chóng báo cáo các sự kiện bảo mật vì mục đích minh bạch.
BlockSec cho biết việc khai thác có thể không được chú ý bởi vì ít người hơn đang quét các vấn đề trên Terra so với Ethereum và các chuỗi tương thích với Ethereum.
Ngoài ra, không có giao diện nào trên trang web Mirror giúp bạn có thể kiểm tra tổng số tài sản thế chấp trong giao thức. Điều này khiến việc nhận thấy lỗ hổng bảo mật khó hơn nhiều nếu không sàng lọc qua một lượng lớn dữ liệu blockchain.
Đầu tháng này, các nhà phát triển Mirror đã lặng lẽ sửa lỗ hổng bảo mật, cùng thời điểm với UST stablecoin bắt đầu sụp đổ. Một tuần sau bản vá, các thành viên cộng đồng bắt đầu tự hỏi liệu có thể có một vụ hack hay không, theo một cuộc thảo luận về quản trị. Không rõ liệu các nhà phát triển của Mirror có biết về việc hack hay không.
Tuy nhiên, đây không phải là lần đầu tiên một vụ tấn công lọt vào tầm ngắm trong một thời gian ngắn. Khi tin tặc đánh cắp 600 triệu đô la từ sidechain Ronin vào tháng 3 năm 2022, một tuần đã trôi qua trước khi bất kỳ ai nhận ra điều đó đã xảy ra. Chỉ đến khi người dùng phát hiện ra họ không thể rút tiền thì bất kỳ ai mới nhận ra rằng có một khoản thiếu hụt.
Mirror Protocol, là chủ đề của cuộc điều tra của SEC, vẫn chưa đưa ra bình luận chính thức về vấn đề này. Nhóm Mirror và Terraform Labs vẫn chưa trả lời về vấn đề trên.
Theo dõi chúng tôi để cập nhật thêm nhiều thông tin Hot về thị trường tiền điện tử: Website | Fanpage | Twitter | Youtube |Telegram Nguồn theblockcrypto
