上周,一名 Terra 社区成员意外发现了某个被疏忽七个月的 De'FiĊa; 漏洞,并且得到了 BlockSec 安全分析师的证实。2021 年 10 月,DeFi 应用程序 Mirror Protocol 在旧 Terra 区块链上遭受了 9000 万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,Mirror Protocol 允许用户使用合成资产,对à科技股进行做多或做空。
Mirror Protocol 建立在 Terra 区块链之上,然而在 Terµ☏raUSD(UST)稳定币失去与美元的锚定之后,其姊妹代币 Luna 在本月早些时候也‚被拖累到几乎一文不值。
在经历β了混乱的几周后,社区投票通☞过了硬分叉的 Terra 2.0 以消弭影响ਭ,而原始链则倍改名为 Terra Classic 。
本文提到的漏洞,由 Terraએ 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链,他੫ι也是最直言不讳的反对者之一。
🙀
同时安全公司 BlockSec 通过分析特定的漏洞利ⓘ用交易,证实了 ਠFatMan 的这一发现。
可♩知每当有人想要在 Mirror 上做空时,其必须将包括UST、ζLUNA Clⓝassic(LUNC)和 mAssets 在内的抵押品锁定至少 14 天。
交易结束后,用户可解锁Æ抵押品ω、并将资产释放回钱包,且所有相ä关操作都是在智能合约生成的 ID 号的帮助下完成的。
然而由于代码上ધ的 Bug,报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 IDĊc;¾ 来提取资金。
于是 202ã1 年 10 月,某个不知名的实体发现了这一漏洞,并借此利用重复 ID 列表ä来反复解锁数以百倍的抵押品 —⌋— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。
后续的区块链记录表明,该实体总共撬走了约Ι 9000 万美元ⓦ的资金。然而更让人感到无语的是,这一漏洞直到七个月后才被人Āe;曝光。
通常情况下ò,为透明起见,项目放都会尽快向公众通报安全事件 —— 即便类↵似 Mirror Protocol 漏洞的事件相当罕见。
BloÞckSec 指出:与 ETH 和兼容区块链相比,在 Terra 上扫描相关问题的人较少,因而该漏洞એ才迟迟未‰被公众所知晓。
此外 ⓗMirror 网站上没有可以查看协议中抵押品总量的ࢵ界面,这使得在不筛选大量区块链数据的情况下,更难发现相关漏洞。
本月早些时候👽,大约在 UST 稳定币开始崩溃的同时,ࢮMirror 开发人员悄悄修复了该漏洞 —— 补丁发布一周后,社区成员∗开始怀疑是否存在漏洞。
当然,这并不是黑客™首次盯上加密Ν货币的区块链协议。比如 2022 年 3 月,在黑客从 Ronin 侧链窃走 6 亿美元之后一周,无法提取资金的人们才意识到有糟糕的事情ý发生。
最后,被美国证券交易委员会(SEC)Ζ调τ查的 Mirror P∑rotocol 尚未就此事发表官方评论。
TਮΟhe Block 向 Mirr৻or / Terraform Labs 团队发去了置评请求,但截止发稿时,它们都未予置评。
24小时ી滚动播报最新的财经资讯和视频,ਰ更多粉丝福利扫描二维码关注(sinafiⓛnance)
ƒ
新浪૩财经意见反馈留言板é
Š
♤All Right·s Reserved 新浪公司 版权所有
