Terra区块链曝出被忽视七个月的DeFi漏洞 致9000万美元资金被窃取

arrarpetahack

上周，一名 Terra 社区成员意外发现了某个被疏忽七个月的 DeFi 漏洞，并且得到了 BlockSec 安全分析师的证实。2021 年 10 月，DeFi 应用程序 Mirror Protocol 在旧 Terra 区块链上遭受了 9000 万美元的攻击损失，但社区直到上周才意识到它的存在。据悉，Mirror Protocol 允许用户使用合成资产，对科技股进行做多或做空。



Mirror Protocol 建立在 Terra 区块链之上，然而在 TerraUSD（UST）稳定币失去与美元的锚定之后，其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。

在经历了混乱的几周后，社区投票通过了硬分叉的 Terra 2.0 以消弭影响，而原始链则倍改名为 Terra Classic 。



本文提到的漏洞，由 Terra 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链，他也是最直言不讳的反对者之一。

同时安全公司 BlockSec 通过分析特定的漏洞利用交易，证实了 FatMan 的这一发现。



可知每当有人想要在 Mirror 上做空时，其必须将包括UST、LUNA Classic（LUNC）和 mAssets 在内的抵押品锁定至少 14 天。

交易结束后，用户可解锁抵押品、并将资产释放回钱包，且所有相关操作都是在智能合约生成的 ID 号的帮助下完成的。

然而由于代码上的 Bug，报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。



于是 2021 年 10 月，某个不知名的实体发现了这一漏洞，并借此利用重复 ID 列表来反复解锁数以百倍的抵押品 —— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。

后续的区块链记录表明，该实体总共撬走了约 9000 万美元的资金。然而更让人感到无语的是，这一漏洞直到七个月后才被人曝光。

通常情况下，为透明起见，项目放都会尽快向公众通报安全事件 —— 即便类似 Mirror Protocol 漏洞的事件相当罕见。



BlockSec 指出：与 ETH 和兼容区块链相比，在 Terra 上扫描相关问题的人较少，因而该漏洞才迟迟未被公众所知晓。

此外 Mirror 网站上没有可以查看协议中抵押品总量的界面，这使得在不筛选大量区块链数据的情况下，更难发现相关漏洞。



本月早些时候，大约在 UST 稳定币开始崩溃的同时，Mirror 开发人员悄悄修复了该漏洞 —— 补丁发布一周后，社区成员开始怀疑是否存在漏洞。



当然，这并不是黑客首次盯上加密货币的区块链协议。比如 2022 年 3 月，在黑客从 Ronin 侧链窃走 6 亿美元之后一周，无法提取资金的人们才意识到有糟糕的事情发生。



最后，被美国证券交易委员会（SEC）调查的 Mirror Protocol 尚未就此事发表官方评论。



The Block 向 Mirror / Terraform Labs 团队发去了置评请求，但截止发稿时，它们都未予置评。