Bir Terra topluluğu üyesi, Terra blok zincirinde aylardır halk tarafından bilinmeyen 90 milyon dolarlık bir DeFi açığı keşfetti.
Geçen haftaya kadar, maliyetli bir Terra DeFi açığı yedi ay boyunca fark edilmedi. Klasik Terra blok zinciri üzerine inşa edilen Mirror Protocol, kullanıcıların sentetik varlıkları kullanarak teknoloji hisselerinde uzun veya kısa pozisyon almalarına izin verdi. Bununla birlikte, protokolün çalışma mekanizması 90 milyon dolarlık bir hack’e tanık oldu. Sadece geçen hafta bir Terra topluluğu üyesi ve “FatMan” adlı analist bu durumu farketti. Ardından Terra zinciri DeFi istismarı güvenlik analistleri BlockSec tarafından da onaylandı.
Terra DeFi İstismarı Nasıl Ortaya Çıktı?
Mirror’da bir hisse senedine karşı para yatırmak için, kullanıcıların en az on dört gün boyunca teminatı kilitlemeleri gerekiyordu. Bu teminat, orijinal Terra dijital para birimi LUNA’yı (şimdi LUNA Classic veya LUNC) içeriyordu. İlgili diğer varlıklar, mAssets ve şu anda feshedilmiş olan stablecoin UST’dir. İşlemin tamamlanmasının ardından, kullanıcılar fonları tekrar cüzdanlarına bırakmak için teminatın kilidini açabildiler. Ayrıca, bu sürece akıllı sözleşmeyle oluşturulan kimlik numaraları da yardımcı oldu. Bununla birlikte, bir buggy kodunun yaygınlığı, Mirror Protocol’ün kilit sözleşmesinin, bir kullanıcının daha önce para çekmek için aynı kimliği kullanıp kullanmadığını kontrol etmesini engelledi.
Ekim 2021’de bilinmeyen bir varlık, sahip olduklarından çok daha fazla teminatı tekrar tekrar açmak için yinelenen kimliklerin bir listesini dağıtabileceklerini fark etti. Bu, ihlal yoluyla Terra zincirinde herhangi bir yetkilendirme olmaksızın keyfi olarak para çekmeyi mümkün kıldı. Güvenlik açığından yararlanan varlık, blok zinciri kayıtlarına göre Mirror Protocol’den 90 milyon dolar çekti.
Keşif
27 Mayıs’ta, Terra 2.0’ın son lansmanının baş düşmanlarından biri olan “FatMan”, bir Twitter gönderisinde Mirror istismarına dikkat çekti:
“Tam pes etmek üzereyken bunu buldum… Burada neler olmuş böyle? Ekim 2021’den itibaren tek bir işlem, bir pozisyonun tekrar tekrar açılmasını sağladı. Ve fiilen yürütüldü.”
FatMan’in tweet’i, protokol atlamasını gösteren Terra Finder sitesine bir bağlantı içeriyordu. FatMan’in tweet dizisi, meçhul saldırganın durumu nasıl sağladığına ışık tuttu. Tweetlerden birine göre:
“Kilit sözleşmesi, fonların darphane sözleşmesinden gönderildiğini kontrol etmedi, bu nedenle saldırgan 10 $ teminatlı (!) bir pozisyon açtı ve doğrudan kilit sözleşmesine 10 bin $ gönderdi. Daha sonra, başkalarının teminatını sözleşmeden tekrar tekrar açabilirler. ”
BlockSec, FatMan’in Twitter’daki bulgularını doğruladı. Ayrıca BlockSec, Terra’daki sorunları daha az kişinin taradığı için istismarın incelemediği sürece farkedilmediğini de öne sürdü. Ethereum ve Ethereum uyumlu zincirler gibi diğer ağlar, sorunlar için çok daha fazla inceleme yapılıyor.
Bu sitede yer alan makalelerin yazarları yatırım kararlarınızdan sorumlu tutulamaz ve Yoyodex’in görüşlerini yansıtmaz. Her yatırım ve ticaret hareketi risk içerir. Özellikle karar verirken kendi araştırmanızı yapmalısınız.