根據 The Block 報導,基於 Terra 區塊鏈(舊版)的 DeFi 協議 Mirror Protocol 於 2021 年 10 月遭遇了價值 9,000 萬美元的漏洞攻擊。該漏洞由近期最活躍的 Terra 反對論者FatMan 揭露,而安全審計公司 BlockSec 進一步對鏈上交易進行分析後也證實了該漏洞確實存在且遭到利用。
漏洞利用是如何發生的?
Mirror 是一款允許用戶買賣合成資產的 DeFi 協議,每當有人想在 Mirror 上交易合成資產時,他們必須鎖定加密資產作為抵押品(包括 UST、LUNA Classic (LUNC) 和 mAssets),並鎖倉至少 14 天。
當交易結束後,用戶可以解鎖抵押品,並將其釋放回錢包。所有這些都是透過智能合約生成的 ID 完成的。
然而,疑似由於代碼錯誤,當有人多次使用同一個 ID 提取資金時,Mirror 的鎖倉合約未能正確的檢查。
2021 年 10 月,一個未知實體注意到這一漏洞,並藉此使用一系列複製 ID 反覆解鎖數百倍的抵押品。簡單來說,漏洞利用者在沒有任何授權的情況下提取了合約中的資金,最終獲利價值約 9000 萬美元。
七個月無人問津
儘管交易數據皆在鏈上公開,但長達七個月的時間,這起重大的駭客攻擊卻都沒有被公開。通常為了協議運營的透明度,項目方都會在短時間內主動報告相關漏洞安全事件。
安全審計公司 BlockSec 表示,與以太坊和與以太坊兼容鏈相比,該漏洞可能很難被注意到,因為在 Terra 上偵測漏洞與問題的人或組織相對較少。此外,Mirror 網站上也沒有可以查看協議中總抵押品的界面,導致該問題更難被發現。
根據 The Block 的報導,Mirror 開發人員在 5 月初悄悄修復了該漏洞,大約與 UST 穩定幣崩盤的時間點一致。