上周,一位Terra社区成员无意中发现了7个月被忽视的DeFi漏洞,并获得了安全分析师的BlockSec确认。2021年10月,DeFi应用MirrorProtocol在旧Terra区块链上遭受了9000万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,MirrorProtocol允许用户使用合成资产做多或做空科技股。MirrorProtocol建立在Terra区块链之上,但在本月早些时候TerraUSD(UST)稳定币失去与美元的挂钩后,其姊妹代币Luna也被拖至接近一文不值的水平。在混乱的几周之后,社区投票通过硬分叉Terra2.0来消除影响,而原来的链更名为TerraClassic。本文提到的漏洞由Terra社区成员兼分析师“FatMan”揭露。他也是新推出的Terra2.0区块链最直言不讳的反对者之一。同时,安全公司BlockSec通过分析特定的利用交易证实了FatMan的发现。可见,只要有人想做空Mirror,就必须锁定包括UST、LUNAClassic(LUNC)和mAssets在内的抵押品至少14天。交易完成后,用户可以解锁抵押品并将资产放回钱包,这一切都需要借助智能合约生成的ID号。然而,由于代码中的一个错误,据报道,当有人多次使用同一ID提取资金时,Mirror的锁定合约无法检查。因此,在2021年10月,一个未知实体发现了该漏洞,并利用它使用重复ID列表重复解锁数百倍的抵押品——这基本上意味着犯罪者能够提取资金。随后的区块链记录显示,该实体总共盗窃了约9000万美元。然而,更让人无语的是,这个漏洞直到七个月后才被曝光。通常,为了透明起见,该项目会尽快将安全事件通知公众——即使像镜像协议漏洞这样的事件相当罕见。BlockSec指出,与ETH和兼容的区块链相比,很少有人在Terra上扫描问题,因此该漏洞向公众传播的速度很慢。此外,Mirror网站上没有查看协议中抵押品总量的界面,这使得在不筛选大量区块链数据的情况下更难找到相关漏洞。本月早些时候,大约在UST稳定币开始崩溃的同一时间,Mirror开发人员悄悄修复了这个漏洞——补丁发布一周后,社区成员开始怀疑是否存在漏洞。当然,这并不是黑客第一次针对加密货币区块链协议。就像2022年3月,在黑客从Ronin侧链窃取6亿美元一周后,无法提取资金的人们意识到发生了不好的事情。最后,正在接受美国证券交易委员会(SEC)调查的MirrorProtocol尚未就此事发表官方评论。TheBlock向Mirror/TerraformLabs团队发送了评论请求,但截至发稿时他们都没有发表评论。
