Хакер вывел $90 млн из протокола Mirror. Это обнаружили спустя семь месяцев

Работающий на базе Terra DeFi-протокол Mirror стал жертвой эксплойта на сумму более $90 млн. Его обнаружил аналитик FatMan, а подтвердили специалисты фирмы по кибербезопасности BlockSec.

As pointed out by many followers (thanks very much), the attack transaction can be viewed on the ‘classic’ chain(https://t.co/9nmweKv1hC). We have made a clarification here:https://t.co/Sqj5jet6Ij— BlockSec (@BlockSecTeam) May 29, 2022

Для открытия короткой позиции по синтетической акции в Mirror Protocol необходимо заблокировать залог (UST, LUNA Classic и mAssets) как минимум на 14 дней. После завершения операции токены можно вывести обратно в кошелек.

Чтобы установить владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Из-за уязвимости протокол не смог заблокировать многократный вывод средств одним и тем же пользователем. В октябре 2021 года это обнаружил неизвестный, который нанес ущерб в общей сложности на $90 млн — сумма превысила в сотни раз размер заблокированного им обеспечения.

В BlockSec объяснили, что об этом стало известно только сейчас, поскольку на сайте Mirror не выводились данные о сумме внесенного пользователями залога. Другим фактором стало недостаточное внимание сообщества к анализу данных в блокчейне Terra по сравнению Ethereum и EVM-совместимыми сетей.

В мае, несколько дней спустя после коллапса Terra, разработчики Mirror Protocol устранили эксплойт. На форуме сообщества команда оставила без ответа вопрос о том, успел ли кто-то воспользоваться уязвимостью.

На днях неизвестный вывел из Mirror еще $2 млн в результате проблем с отображением котировок оракулами. Эту уязвимость обнаружил участник сообщества Mirroruser и подтвердил FatMan.

Mirror Protocol is being exploited again as we speak,