Terra生態協議Mirror再遭攻擊,多個資金池已耗盡,審計機構證實九千萬美元漏洞屬實

Jim
分享
Terra生態協議Mirror再遭攻擊,多個資金池已耗盡,審計機構證實九千萬美元漏洞屬實

社群成員在合成資產協議 Mirror Protocol 論壇上指出,協議因預言機漏洞已損失 200 萬美元,過去連日針對 Terra 爆料的匿名推特用戶 FatMan 也表示,若不盡快處理將導致無法彌補的鉅額壞帳。

Mirror Protocol 自五月初修復漏洞以來,就未曾在推特進行任何更新,Mirror 協議允許用戶以數位資產作為擔保品,生成、交易錨定的股票、債券、外匯等資產價格的代幣。

Mirror 遭遇另一次攻擊

社群成員 Mirroruser 在 Mirror 論壇上發佈此漏洞。

廣告 - 內文未完請往下捲動

簡言之,Terra Classic 鏈上多數節點仍運行過時版本的預言機,當 LUNC 價格僅約 0.0001 美元時,預言機錯誤地以 Terra 2.0 LUNA 的價格 (9 美元) 餵價給 Mirror 協議。

也就是預言機將攻擊者的 LUNC 價值放大了數萬倍,因此攻擊者能以此在協議中透過借貸機制套利,不斷兌換出價值不匹配的實質資產。

目前 Mirror 已損失超過 200 萬美元,匿名推特用戶 FatMan 指出目前以下資金池已被耗盡:

  • mBTC
  • mETH
  • mDOT
  • mGLXY

且美股因陣亡將士紀念日休市,若未能在盤前交易開始前 (台灣時間 16:00) 修正,攻擊者可能將進一步耗盡剩餘資金池。

預言機專案 ChainLink 社群大使 ChainLinkGod 也表示,Mirror 案例說明為何預言機應是動態,而非靜態、無法更動的,並提到上週末 Anchor Protocol 也遇到了類似漏洞問題。

去年漏洞損失九千萬美元

FatMan 在 5/27 也披露 Mirror 默默修復了一個去年至今的漏洞,漏洞已導致協議損失 9,000 萬美元,且持續了 7 個月才被團隊發現,區塊鏈審計機構 BlockSec 也證實了 FatMan 的說法。

當用戶要在 Mirror 上做多或做空股票時,必須鎖定 UST、LUNA Classic (LUNC) 和 mAssets 等資產 14 日,交易完成後用戶才能解鎖抵押品取回資金。

然而由於合約漏洞,攻擊者能重複解鎖抵押品,在進行上百次攻擊後,鏈上數據顯示攻擊者得手約 9,000 萬美元。

而開發團隊在五月初時默默修復了漏洞,讓用戶開始更加懷疑此漏洞存在的真實性。截稿前 Terraform Labs (TFL)、創辦人 Do Kwon 皆忙於宣傳新上的 Terra 2.0 代幣,Mirror 推特也未有任何更新。