Mirror Protocol ซึ่งเป็นแอปพลิเคชัน DeFi ที่สร้างขึ้นบน Terra blockchain แบบเก่า ถูกโจมตีโดยการเจาะช่องโหว่ 90 ล้านดอลลาร์ในเดือนตุลาคม 2021 และยังคงไม่ถูกค้นพบทั้งหมดจนถึงสัปดาห์ที่แล้ว ผู้โจมตีสามารถปลดล็อกหลักประกันจากโปรโตคอลได้หลายครั้งในขณะที่จ่ายค่าธรรมเนียมเพียงเล็กน้อยในแต่ละครั้ง
DeFi ของ Terra โจมตีเมื่อเจ็ดเดือนที่แล้ว
การหาประโยชน์จาก Terra DeFi ที่มีราคาแพงไม่ได้รับการรายงานเป็นเวลาเจ็ดเดือนจนถึงสัปดาห์ที่แล้ว Mirror Protocol สร้างขึ้นบน Terra blockchain อนุญาตให้ผู้ใช้ใช้สินทรัพย์สังเคราะห์เพื่อรับตำแหน่งยาวหรือสั้นในหุ้นเทคโนโลยี
กลไกการทำงานของโปรโตคอลถูกแฮ็กไปในราคา 90 ล้านดอลลาร์ การโจมตี Terra chain DeFi ถูกค้นพบครั้งแรกเมื่อสัปดาห์ที่แล้วโดยสมาชิกชุมชน Terra และนักวิเคราะห์ชื่อ “FatMan” และตอนนี้ได้รับการยืนยันโดยนักวิเคราะห์ด้านความปลอดภัย BlockSec
สมาชิกชุมชน เปิด จุดอ่อนในโค้ดของ Mirror Protocol เมื่อวันที่ 17 พฤษภาคม ทำให้แฮ็กเกอร์สามารถระบายน้ำได้มากถึง 90 ล้านดอลลาร์ เริ่มตั้งแต่วันที่ 8 ตุลาคม 2021
ตามคำกล่าวของ FatMan ใคร พูดว่า เขาค้นพบการแฮ็กโดย "บังเอิญบริสุทธิ์" ผู้โจมตีขโมยเงิน $89,706,164.03 จากโปรโตคอลด้วยช่องโหว่ที่อนุญาตให้พวกเขาปลดล็อกหลักประกันจากสัญญาล็อค "ครั้งแล้วครั้งเล่าโดยใช้ต้นทุนเพียงเล็กน้อยและไม่มีความเสี่ยง"
สถิติออนไลน์ของ Terra Classic เปิดเผย ว่าผู้โจมตีสามารถปล่อยเงิน UST จากโปรโตคอลได้หลายครั้งภายในธุรกรรมเดียวกันในราคาเพียง $17.54 ในแต่ละครั้ง
โดยศึกษาธุรกรรมการเอารัดเอาเปรียบที่แม่นยำ บริษัทรักษาความปลอดภัย BlockSec ได้รับการยืนยัน การค้นพบของสมาชิกในชุมชน
ว่ามันเกิดขึ้น
ผู้ใช้ต้องล็อคหลักประกันอย่างน้อยสิบสี่วันเพื่อเดิมพันกับหุ้นในมิเรอร์ LUNA สกุลเงินดิจิทัลดั้งเดิมของ Terra รวมอยู่ในหลักประกันนี้ (ปัจจุบันคือ LUNA Classic หรือ LUNC) mAssets และ Stablecoin UST ที่หมดอายุแล้วก็มีส่วนเกี่ยวข้องด้วยเช่นกัน
ผู้ใช้สามารถปลดล็อคหลักประกันและคืนเงินเข้ากระเป๋าของพวกเขาเมื่อการค้าเสร็จสิ้น
นอกจากนี้ การใช้หมายเลขประจำตัวที่สร้างด้วยสัญญาอัจฉริยะช่วยในกระบวนการนี้ อย่างไรก็ตาม สัญญาล็อคของ Mirror Protocol ไม่สามารถตรวจสอบได้ว่าผู้ใช้เคยใช้ ID เดียวกันในการถอนเงินก่อนหน้านี้หรือไม่เนื่องจากมีข้อบกพร่อง
การอ่านที่เกี่ยวข้อง | ประเทศไทยพร้อมสำหรับเศรษฐกิจดิจิทัล ยกเลิกการโอน Crypto จากภาษีมูลค่าเพิ่มจนถึงสิ้นปี 2023
อย่างไรก็ตาม เห็นได้ชัดว่าสัญญาล็อกของ Mirror ไม่สามารถตรวจสอบได้เมื่อมีคนใช้ ID เดียวกันในการถอนเงินหลายครั้งเนื่องจากความผิดพลาดในรหัส
ในเดือนตุลาคม พ.ศ. 2021 หน่วยงานที่ไม่ปรากฏชื่อพบว่ารายการรหัสที่ซ้ำกันสามารถนำมาใช้เพื่อปลดล็อกหลักประกันมากกว่าเดิมหลายร้อยเท่า โดยพื้นฐานแล้วหมายความว่าอาชญากรอาจถอนเงินโดยไม่ได้รับอนุญาต
การโจมตีครั้งใหม่
ในวันที่ 30 พฤษภาคม เพียงไม่กี่วันหลังจากการค้นพบ โปรโตคอล DeFi ก็ตกเป็นเป้าหมายอีกครั้ง
ตามที่ รายงาน การแฮ็กใหม่ล่าสุดเกิดจากข้อบกพร่องในการกำหนดราคา oracles ของบริษัท ซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากความแตกต่างของราคาระหว่าง LUNC เก่ากับโทเค็น LUNA ใหม่
โหนด Terra กำลังเรียกใช้ซอฟต์แวร์ oracle ที่ล้าสมัย ซึ่งทำให้การโจมตีเกิดขึ้นได้ แฮ็กเกอร์ขโมยเงินกว่า 2 ล้านเหรียญจากโปรโตคอล ตามที่สมาชิกชุมชน Chainlink ที่ค้นพบการโจมตีดังกล่าว
Terra/USD รวมตัวหลังจากเกิดความผิดพลาดเกือบเป็นศูนย์ แหล่งที่มา: TradingView
นี่ไม่ใช่ครั้งแรกที่ไม่มีใครสังเกตเห็นการแฮ็กในช่วงเวลาสั้นๆ ในเดือนมีนาคม พ.ศ. 2022 แฮกเกอร์ขโมยเงินไป 600 ล้านดอลลาร์ จาก Ronin sidechain และต้องใช้เวลาหนึ่งสัปดาห์กว่าที่ใครจะสังเกตเห็น มันไม่ได้จนกว่าผู้ใช้ ค้นพบ พวกเขาไม่สามารถถอนเงินได้หากใครรู้ว่ามีปัญหา
Mirror Protocol ซึ่งก็คือ กำลังถูกสอบสวน โดยสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ยังไม่ได้แถลงอย่างเป็นทางการเกี่ยวกับสถานการณ์ดังกล่าว
ทีม Mirror Protocol ยังไม่ได้ออกแถลงการณ์เกี่ยวกับการหาประโยชน์ ซึ่งกระตุ้นให้ชุมชนไม่พอใจ ในทางกลับกัน FatMan เชื่อว่ามี "หลักฐานที่น่าสนใจ" ว่าแฮ็กเกอร์เป็นคนวงใน
แม้ว่าจะไม่ใช่การใช้ประโยชน์จาก DeFi ครั้งแรกในประวัติศาสตร์ แต่เป็นการใช้เวลาค้นพบนานที่สุด Terra อยู่ภายใต้การพิจารณาอย่างถี่ถ้วนเนื่องจากกองแรงดัน
การอ่านที่เกี่ยวข้อง | กำแพงไม่ใหญ่นัก: จีนล้มเหลวอย่างน่าสังเวชในการห้ามการขุด Bitcoin
ภาพเด่นจาก Shutterstock และแผนภูมิจาก TradingView.com
ที่มา: https://bitcoinist.com/defi-built-on-terra-succumbed-to-a-90-million/