Mirror Protocol – baru terdektesi setelah 7 bulan di hack

Sumber : RektNews

Cermin cermin di dinding…

$90 juta dicuri, tapi bukan itu saja.

Dua eksploitasi mencapai Mirror Protocol, dan yang lebih besar dari keduanya bahkan tidak diperhatikan pada awalnya.

Ketika peretasan Jembatan Ronin diumumkan, kami semua terkejut mendengar dana tersebut hilang selama seminggu sebelum alarm dibunyikan.

Butuh Mirror Protocol tujuh bulan, untuk mengetahui kerugiannya, dan ketika mereka akhirnya menyadarinya, mereka tidak mengumumkan apa pun secara terbuka.

Dan kemudian, 232 hari kemudian, mereka dipukul lagi.

Sehari setelah kerugian pertama terungkap, $2 juta lagi diambil.

Betapa memalukan.

Pengembang cermin perlu melihat lebih lama di…

Kredit: FatManTerra, pedroexplore1

Eksploitasi pertama, dieksekusi pada 8 Oktober 2021, melibatkan berulang kali membuka kunci jaminan yang disimpan terhadap posisi short di Mirror Protocol.

Kontrak penguncian tidak berisi pemeriksaan panggilan duplikat untuk penarikan, memungkinkan penyerang menguras dana yang disimpan oleh pengguna lain dengan memanggil unlock_position_funds untuk ID posisi mereka sendiri beberapa kali.

Transaksi serangan: 08DD2B70…

Untuk analisis langkah demi langkah, lihat posting blog BlockSec ini.

Meskipun kerentanan tetap hidup, tidak ada serangan lanjutan yang dilakukan; keseimbangan kontrak kunci tidak pernah naik cukup tinggi untuk dieksploitasi lagi tanpa mengingatkan basis pengguna protokol.

Seperti yang ditunjukkan FatManTerra di Twitter:

“Semua ini benar-benar tidak diperhatikan oleh TFL dan tim & komunitas Mirror.”

Pada tanggal 14 Mei, kerentanan akhirnya, dan diam-diam, ditambal tanpa menyebutkan bug atau kerugian $90 juta yang telah dihasilkan hanya tujuh bulan sebelumnya.

Kecurigaan muncul ketika pengguna di forum mulai melihat perbaikan bug, memicu diskusi tentang mengapa para pengembang “menyelundupkan” perbaikan tanpa pengumuman.

Akhirnya, rinciannya diterbitkan oleh FatMan pada 27 Mei.

Namun, sehari setelah berita tentang kejadian asli pecah, eksploitasi terbaru terlihat.

Mirror Hack Dua: LUNA Switcheroo

Sumber: Mirroruser, Blockpane, FatManTerra

“Mirroruser” pertama kali memposting detail ke forum Mirror, memperingatkan komunitas tentang hilangnya dana.

Karena kesalahan harga LUNC yang sama yang menyebabkan eksploitasi Anchor, LUNC diberi nilai LUNA 2.0 pada rantai baru, pada saat itu ~5 USTC (sekitar ~$0,10).

Masalahnya ada pada validator Luna Classic yang menjalankan oracle kedaluwarsa, yang belum diperbarui untuk rantai warisan.

Ini berarti bahwa pengguna dapat membeli LUNC murah, menyetor sebagai jaminan, dan mengambil keuntungan dari penilaian yang berlebihan untuk menguras kolam Mirror. mBTC, mETH, mDOT, dan mGLXY protokol telah terkuras, dengan total ~$2 juta untuk penyerang.

Setelah berita eksploitasi selama akhir pekan, oracle berhasil diperbaiki, tetapi masalahnya tidak berhenti di situ.

Semua aset (saham yang dibungkus cermin) masih untuk diambil, tidak dapat diperdagangkan sampai pasar dibuka setelah akhir pekan yang panjang. Kekhawatirannya adalah bahwa dana yang sebelumnya dicuri akan digunakan untuk mengambil sisa mAsset yang nilainya sangat rendah.

Namun, dengan hanya beberapa menit sebelum pasar dibuka pada hari Selasa, dana yang dicuri dinonaktifkan untuk digunakan sebagai jaminan, menghemat apa yang tersisa dari protokol.

Fakta bahwa eksploitasi $90 juta tidak diperhatikan oleh pengguna (dan mungkin pengembang), merupakan gejala dari kecerobohan yang terkait dengan kegagalan di sekitar ekosistem Terra.

Kesederhanaan kerentanan tampaknya tidak pada tempatnya jika dibandingkan dengan kerusakan yang telah terjadi. Pertama, $90 juta hilang karena bug logika dasar, dan kemudian, percabangan yang terburu-buru menyebabkan pengawasan masalah oracle yang sangat dapat diperkirakan.

Bahkan dalam menghadapi kegagalan ini, Luna 2.0 tetap bersemangat dan, meskipun telah kehilangan miliaran dolar uang orang lain, Do Kwon tetap arogan seperti biasanya.

Dalam ketergesaannya untuk memperbaiki reputasinya, Kwon mengambil keuntungan dari semua orang yang terjebak melawan biaya hangus; pengembang yang menginvestasikan waktu mereka, dan ritel, yang menginvestasikan tabungan mereka.

DeFi hari ini terasa seperti kehilangan tujuan. Reputasi kami rusak, dan bahkan pengguna yang paling tajam pun kurang percaya diri.

Kita mungkin telah mengembangkan metode distribusi kekayaan kita, tetapi kompas moral kita jelas masih membutuhkan pembaruan.

Bayangkan industri kita tanpa ego… Berapa banyak kerusakan ini yang bisa dicegah?

Leave a Reply