Pada Oktober 2021, aplikasi DeFi Mirror Protocol menyerah pada eksploitasi $90 juta pada blockchain Terra lama — dan itu benar-benar tidak diperhatikan hingga minggu lalu.
Protokol cermin memungkinkan pengguna untuk mengambil posisi panjang atau pendek pada saham teknologi menggunakan aset sintetis. Itu dibangun di Terra, yang runtuh awal bulan ini setelah stablecoin utamanya kehilangan pasaknya terhadap dolar AS, menyeret token saudaranya, Luna, ke bawah bersamanya. (Blockchain sekarang telah dihidupkan kembali sebagai Terra 2.0, sedangkan rantai aslinya tetap hidup sebagai Terra Classic).
Eksploitasi itu ditemukan oleh anggota komunitas Terra dan analis yang disebut "FatMan." Dia telah menjadi salah satu antagonis paling vokal dalam peluncuran blockchain Terra baru-baru ini.
Perusahaan keamanan BlockSec dikuatkan temuan anggota komunitas dengan menganalisis transaksi eksploit tertentu. BlockSec mengkonfirmasi eksploitasi memang terjadi.
Bagaimana eksploitasi itu terjadi?
Kapan pun seseorang ingin bertaruh melawan saham di Mirror, mereka harus kunci jaminan — termasuk UST, LUNA Classic (LUNC), dan mAssets — selama minimal 14 hari.
Setelah perdagangan selesai, pengguna dapat membuka kunci agunan untuk melepaskan dana kembali ke dompet. Semua ini dilakukan dengan bantuan nomor ID yang dihasilkan oleh kontrak pintar.
Namun, karena kode buggy, kontrak kunci Mirror diduga gagal untuk memeriksa ketika seseorang menggunakan ID yang sama lebih dari sekali untuk menarik dana.
Pada Oktober 2021, satu entitas yang tidak dikenal memperhatikan bahwa mereka dapat menggunakan daftar ID duplikat untuk berulang kali membuka kunci jaminan ratusan kali lebih banyak daripada yang mereka miliki. Ini pada dasarnya berarti pelaku dapat menarik dana tanpa izin.
Entitas ini menghabiskan total sekitar $90 juta, menurut catatan blockchain.
Tidak diperhatikan selama tujuh bulan
Eksploitasi Cermin mungkin merupakan salah satu peristiwa langka di mana, meskipun ada data on-chain, peretasan besar tetap tidak diungkapkan untuk waktu yang lama. Biasanya, proyek cepat melaporkan peristiwa keamanan demi transparansi.
BlockSec mengatakan eksploitasi kemungkinan tidak diperhatikan karena lebih sedikit orang yang memindai masalah di Terra dibandingkan dengan rantai yang kompatibel dengan Ethereum dan Ethereum.
Selain itu, tidak ada antarmuka di situs web Mirror yang memungkinkan untuk memeriksa jumlah total agunan dalam protokol. Ini membuatnya lebih sulit untuk melihat kerentanan tanpa menyaring sejumlah besar data blockchain.
Awal bulan ini, pengembang Mirror diam-diam memperbaiki kerentanan, pada waktu yang hampir bersamaan dengan stablecoin UST mulai runtuh. Seminggu kemudian setelah tambalan, anggota komunitas mulai bertanya-tanya apakah mungkin ada eksploitasi, menurut diskusi tata kelola. Tidak jelas apakah pengembang Mirror tahu tentang eksploit tersebut.
Namun, ini bukan pertama kalinya peretasan berada di bawah radar untuk waktu yang singkat. Ketika peretas mencuri $600 juta dari sidechain Ronin pada Maret 2022, seminggu berlalu sebelum ada yang menyadari hal itu terjadi. Hanya ketika pengguna menemukan bahwa mereka tidak dapat menarik dana mereka, ada orang yang menyadari ada kekurangan.
Mirror Protocol, yang menjadi subjek penyelidikan SEC, belum memberikan komentar resmi tentang masalah tersebut. Tim di Mirror atau Terraform Labs belum menanggapi permintaan komentar.
Untuk lebih banyak cerita menarik seperti ini, pastikan untuk mengikuti The Block di Twitter.
© 2022 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://www.theblockcrypto.com/post/149342/a-90-million-defi-exploit-on-terra-went-unnoticed-for-seven-months?utm_source=rss&utm_medium=rss