Mirror Protocol, una aplicación DeFi construida sobre la antigua cadena de bloques Terra, fue atacada por un exploit de $ 90 millones en octubre de 2021, y permaneció completamente sin descubrir hasta la semana pasada. El atacante pudo desbloquear la garantía del protocolo varias veces y solo pagó una pequeña tarifa cada vez.
El DeFi de Terra fue atacado hace siete meses
Un costoso exploit de Terra DeFi no se informó durante siete meses hasta la semana pasada. Mirror Protocol, basado en la cadena de bloques Terra, permitió a los usuarios emplear activos sintéticos para tomar posiciones largas o cortas en acciones tecnológicas.
Sin embargo, el mecanismo operativo del protocolo fue pirateado por 90 millones de dólares. El ataque DeFi de la cadena Terra fue encontrado por primera vez la semana pasada por un miembro de la comunidad Terra y analista llamado “FatMan”, y ahora ha sido confirmado por los analistas de seguridad BlockSec.
Los miembros de la comunidad descubrieron una debilidad en el código de Mirror Protocol el 17 de mayo, lo que permitió a un pirata informático drenar hasta $ 90 millones a partir del 8 de octubre de 2021.
Según FatMan, quien dice que descubrió el truco por “pura casualidad”, el atacante robó $ 89,706,164.03 del protocolo gracias a un exploit que les permitió desbloquear garantías del contrato de bloqueo “una y otra vez a bajo costo y sin riesgo”.
Las estadísticas en cadena de Terra Classic revelaron que el atacante pudo liberar fondos UST del protocolo muchas veces dentro de la misma transacción por solo $ 17.54 cada vez.
Al estudiar la transacción de explotación precisa, la firma de seguridad BlockSec confirmó los hallazgos del miembro de la comunidad.
Cómo pasó
Los usuarios deben bloquear la garantía durante al menos catorce días para poder apostar contra una acción en Mirror. La moneda digital original de Terra, LUNA, se incluyó con esta garantía (ahora LUNA Classic o LUNC). mAssets y la ya desaparecida moneda estable UST también estuvieron involucradas.
Los usuarios pudieron desbloquear la garantía y devolver el dinero a sus billeteras una vez que se completó la operación.
Además, el uso de números de identificación generados por contratos inteligentes ayudó en este procedimiento. Sin embargo, el contrato de bloqueo de Mirror Protocol no pudo verificar si un usuario había usado previamente la misma identificación para retirar fondos debido a la presencia de un error.
Lectura relacionada | Tailandia se prepara para la economía digital, elimina las transferencias criptográficas del IVA hasta finales de 2023
Sin embargo, el contrato de bloqueo de Mirror aparentemente no pudo verificar cuando alguien usó la misma identificación para retirar fondos muchas veces debido a una falla en el código.
En octubre de 2021, una entidad no identificada descubrió que se podía usar una lista de identificaciones duplicadas para desbloquear repetidamente cientos de veces más garantías de las que tenían. Básicamente, esto significaba que el delincuente podía retirar fondos sin permiso.
Un nuevo ataque
El 30 de mayo, solo unos días después del descubrimiento, el protocolo DeFi fue atacado nuevamente.
Según los informes, el ataque más reciente fue provocado por una falla en la configuración de los oráculos de precios de la compañía, lo que permitió al atacante aprovechar la disparidad de precios entre los tokens LUNC antiguos y los nuevos LUNA.
Los nodos de Terra estaban ejecutando un software de Oracle obsoleto, lo que permitió que se llevara a cabo el ataque. El hacker robó más de $2 millones del protocolo, según el miembro de la comunidad de Chainlink que descubrió el ataque.
Terra/USD se consolida después de una caída cercana a cero. Fuente: TradingView
Esta no es la primera vez que un hack pasa desapercibido por un breve período de tiempo. En marzo de 2022, los piratas informáticos robaron 600 millones de dólares de la cadena lateral de Ronin y tardaron una semana en darse cuenta. No fue hasta que los usuarios descubrieron que no podían retirar su dinero que nadie se dio cuenta de que había un problema.
Mirror Protocol, que está siendo investigado por la Comisión de Bolsa y Valores, aún no ha hecho una declaración oficial sobre la situación.
El equipo de Mirror Protocol aún no ha emitido una declaración sobre el exploit, lo que provocó la indignación de la comunidad. FatMan, por otro lado, cree que hay “evidencia convincente” de que el hacker era un infiltrado.
Si bien este no es el primer exploit de DeFi en la historia, es el que ha tardado más en descubrirse. Terra está bajo mucho escrutinio a medida que aumenta la presión.
Lectura relacionada | No tan gran muro: cómo China fracasó miserablemente en prohibir la minería de Bitcoin
Imagen destacada de Shutterstock y gráfico de TradingView.com