DeFi Built On Terra sucumbió a un exploit de $ 90 millones y pasó desapercibido durante siete meses

DeFi Built On Terra sucumbió a un exploit de $ 90 millones y pasó desapercibido durante siete meses

Mirror Protocol, una aplicación DeFi construida sobre la antigua cadena de bloques Terra, fue atacada por un exploit de $90 millones en octubre de 2021 y permaneció completamente desconocida hasta la semana pasada. El atacante pudo desbloquear las garantías del protocolo varias veces y solo pagó una pequeña tarifa cada vez.

El DeFi de Terra fue atacado hace siete meses

Un costoso exploit de Terra DeFi no se informó durante siete meses hasta la semana pasada. Mirror Protocol, construido sobre la cadena de bloques Terra, permitía a los usuarios utilizar activos sintéticos para tomar posiciones largas o cortas en acciones tecnológicas.

Sin embargo, el mecanismo operativo del protocolo fue pirateado por 90 millones de dólares. El ataque de la cadena Terra DeFi fue descubierto por primera vez la semana pasada por un analista y miembro de la comunidad Terra llamado "FatMan", y ahora ha sido confirmado por los analistas de seguridad BlockSec.

Los miembros de la comunidad descubrieron una debilidad en el código de Mirror Protocol el 17 de mayo, lo que permitió a un pirata informático drenar hasta $ 90 millones a partir del 8 de octubre de 2021.

Según FatMan, quien dice que se enteró del hackeo por "pura casualidad", el atacante robó 89.706.164,03 dólares del protocolo a través de un exploit que les permitió desbloquear las garantías del contrato de bloqueo "una y otra vez, sin costo y sin riesgo".

Las estadísticas en cadena de Terra Classic revelaron que el atacante pudo liberar fondos UST del protocolo varias veces durante la misma transacción por solo $ 17.54 cada vez.

Al investigar la transacción de explotación precisa, la firma de seguridad BlockSec confirmó los hallazgos del miembro de la comunidad.

Como paso

Los usuarios deben bloquear la garantía durante al menos catorce días para poder apostar contra una acción en Mirror. La moneda digital original de Terra, LUNA, se incluyó con esta garantía (ahora LUNA Classic o LUNC). mAssets y la ya desaparecida moneda estable UST también estuvieron implicadas.

Los usuarios pudieron liberar la garantía y devolver el dinero a sus billeteras después de que se completó la transacción.

Además, el uso de números de identificación generados por contratos inteligentes ha facilitado este trámite. Sin embargo, el contrato de bloqueo de Mirror Protocol no pudo verificar si un usuario había usado previamente la misma identificación para retirar fondos debido a un error.

Lectura relacionada | Tailandia se prepara para la economía digital y elimina las criptotransferencias del IVA hasta finales de 2023

Sin embargo, el contrato de bloqueo de Mirror aparentemente no pudo verificar cuando alguien usó la misma identificación para retirar fondos varias veces debido a un error en el código.

En octubre de 2021, una entidad no identificada descubrió que se podía usar una lista de identificaciones duplicadas para desbloquear repetidamente cientos de veces más garantías de las que tenía. Básicamente, esto significaba que el delincuente podía retirar fondos sin permiso.

Un nuevo ataque

El 30 de mayo, solo unos días después del descubrimiento, el protocolo DeFi fue nuevamente atacado.

Según los informes, el último ataque fue causado por una falla en la configuración de los oráculos de precios de la compañía, lo que permitió al atacante aprovechar la disparidad de precios entre los tokens LUNC antiguos y los nuevos LUNA.

Los nodos de Terra estaban ejecutando un software de Oracle obsoleto, lo que permitió que se llevara a cabo el ataque. El hacker robó más de $2 millones del protocolo, según el miembro de la comunidad de Chainlink que descubrió el ataque.

Tierra

Terra/USD se está consolidando después de caer cerca de cero. Fuente: Vista comercial

Esta no es la primera vez que un hack pasa desapercibido por un corto tiempo. En marzo de 2022, los piratas informáticos robaron 600 millones de dólares de la cadena lateral de Ronin y tardaron una semana en darse cuenta. No fue hasta que los usuarios descubrieron que no podían retirar su dinero que alguien se dio cuenta de que había un problema.

Mirror Protocol, que está siendo investigado por la Comisión de Bolsa y Valores, aún no ha hecho una declaración oficial sobre la situación.

El equipo de Mirror Protocol aún no ha publicado una declaración sobre el exploit, lo que provocó la indignación de la comunidad. FatMan, por otro lado, cree que hay "evidencia irrefutable" de que el hacker era un infiltrado.

Aunque este no es el primer exploit de DeFi en la historia, fue el que tomó más tiempo en ser descubierto. Terra está bajo escrutinio a medida que aumenta la presión.

Lectura relacionada | No tan Gran Muralla: cómo China fracasó miserablemente en prohibir la minería de Bitcoin

Imagen destacada de Shutterstock y gráfico de TradingView.com