Взлом Terra на $90 млн выявили спустя 7 месяцев.

Через Mirror Protocol было похищено злоумышленниками $90 млн в октябре 2021 года. ElonMoney

В октябре 2021 года приложение Mirror Protocol, работавшее на платформе Terra Classic, стало жертвой преступников. Кража была выявлена только в середине мая.

$90 млн было похищено злоумышленниками в октябре 2021 года через Mirror Protocol, приложение блокчейна Terra для торговли акциями, что оставалось незамеченным до середины мая. На необычную транзакцию обратил внимание один из членов сообщества Terra. Известный в сети под псевдонимом FatMan, он был одним из самых ярых противников недавнего запуска нового блокчейна Terra.

Неизвестные пользователи обнаружили ошибку в программе Mirror Protocol и воспользовались ею, чтобы украсть около $90 млн. Для совершения сделок с акциями в приложении необходимо было разблокировать внесенный ранее залог с помощью идентификатора, сгенерированного смарт-контрактом. Из-за ошибки в коде приложения, Mirror проверял идентификатор только один раз, но не делал этого, когда кто-то использовал его повторно.

В октябре 2021 года преступники заметили, что могут использовать список повторяющихся идентификаторов, чтобы многократно разблокировать суммы залогов, чем они и воспользовались.

BlockSec, компания, которая занимается безопасностью блокчейна, подтвердила выводы члена сообщества, проанализировав транзакции. Исходя из мнения фирмы взлом, вероятно, остался незамеченным, потому как незначительное количество пользователей сканировали Terra на наличие проблем по сравнению с Ethereum и Ethereum-совместимыми цепочками. Помимо этого, на сайте Mirror Protocol отсутствовал интерфейс, дающий возможность проверить общую сумму залога в протоколе, что существенно затруднило выявление уязвимости.

Разработчики Mirror незаметно исправили ошибку кода в начале мая. О похищении $90 млн стало известно через неделю после исправления. Mirror Protocol пока не предоставил официального комментария по этому поводу. В настоящий момент компания находится под следствием в SEC (Комиссии по ценным бумагам и биржам США), где рассматривается дело в отношении Terraform Labs, в том числе вопросы правового регулирования копании Mirror Protocol.

Крах USTС (ранее UST), третьего по величине стейблкоина поддерживаемого Terra Blockchain, начался 8 мая. Криптовалюта потеряла привязку к доллару США после разовой продажи токенов на сумму около $300 млн.