İstismar, geçen hafta bir Terra topluluğu üyesi tarafından yanlışlıkla keşfedildi. Bu durum güvenlik analistleri tarafından onaylandı.
Ekim 2021’de DeFi uygulaması Mirror Protocol, eski Terra blok zincirinde 90 milyon dolarlık bir kötüye kullanıma yenik düştü ve ne gariptir ki bu durum geçen haftaya kadar fark edilemedi. Mirror protokolü, kullanıcıların assetleri kullanarak teknoloji hisselerinde uzun veya kısa pozisyon almasına izin veriyordu. Ana stablecoininin ABD dolarına karşı sabitlenmesinin ardından bu ayın başlarında çöken ve kardeş tokeni Luna’yı da beraberinde sürükleyen Terra üzerine inşa edildi. (Blockchain şimdi Terra 2.0 olarak yeniden canlandırıldı, orijinal zincir ise Terra Classic olarak devam ediyor).
Bu istismar, “FatMan” olarak bilinen bir Terra topluluğu üyesi tarafından tesadüfen keşfedildi.
İstismar Nasıl Oldu?
Bir kişi Mirror’da bir hisse senedine yatırım yapmak istediğinde, UST, LUNA Classic (LUNC) ve mAssets dahil olmak üzere teminatı en az 14 gün boyunca kilitlemek zorundaydı. İşlem tamamlandıktan sonra kullanıcılar, fonları cüzdanlarına geri vermek için teminatın kilidini açabiliyorlardı. Tüm bunlar, akıllı sözleşmeyle oluşturulan kimlik numaralarının yardımıyla yapıldı. Ancak, belirli sebepler nedeniyle, Mirror’ın kilit sözleşmesinin, birisinin para çekmek için aynı kimliği birden fazla kez kullanıp kullanmadığını kontrol edemediği iddia edildi. Ekim 2021’de bilinmeyen bir kişi veya kişiler, sahip olduklarından yüzlerce kat daha fazla teminatı tekrar tekrar açmak için bir yinelenen kimlikler listesi kullanabileceklerini fark etti. Bu temelde, failin herhangi bir yetkilendirme olmaksızın para çekebileceği anlamına geliyordu. Blockchain kayıtlarına göre, bu varlık toplamda yaklaşık 90 milyon dolar olarak ifade edildi.
Yedi Ay Boyunca Fark Edilemedi
Mirror istismarı, zincir üstü verilerin varlığına rağmen, büyük bir hackin uzun süre açıklanmadığı ender olaylardan biri olabilir. Genellikle projeler, şeffaflık adına güvenlik olaylarını hızlı bir şekilde bildirirler. Uzmanlar, Ethereum ve Ethereum uyumlu zincirlere kıyasla daha az kişinin Terra’daki sorunları taradığı için istismarın muhtemelen fark edilmediğini söyledi. Ayrıca Mirror web sitesinde, protokoldeki toplam teminat miktarını kontrol etmeyi mümkün kılan bir arayüz yoktu. Bu, büyük miktarda blok zinciri verisini elemeden güvenlik açığını fark etmeyi çok daha zor hale getirdi.
Bu ayın başlarında, Mirror geliştiricileri güvenlik açığını sessizce düzeltti. Bir yönetim tartışmasına göre, yamadan bir hafta sonra, topluluk üyeleri bir istismar olup olmadığını merak etmeye başladı. Mirror’ın geliştiricilerinin bu istismardan haberdar olup olmadığı ise açıklanmadı. Ancak bu, bir hackin kısa bir süre için radarın altına girdiği ilk sefer değil. Bilgisayar korsanları Mart 2022’de Ronin yan zincirinden 600 milyon dolar çaldığında, insanların bunu anlaması tam olarak 1 hafta sürmüştü. Kullanıcılar, paralarını çekemediklerini anladıklarında, sistemde biri bir gariplik olduğunu fark ettiler.
SEC soruşturmasına konu olan Mirror Protocol, konuyla ilgili henüz resmi bir yorumda bulunmadı. Mirror veya Terraform Labs’deki ekip, henüz bir yorum talebine yanıt vermedi.