Terra에 구축된 DeFi가 9천만 달러 규모의 익스플로잇에 굴복, 7개월 동안 눈에 띄지 않음

오래된 Terra 블록체인을 기반으로 구축된 DeFi 애플리케이션인 Mirror Protocol은 2021년 10월 9천만 달러 규모의 익스플로잇 공격을 받았으며 지난 주까지 완전히 발견되지 않았습니다. 공격자는 매번 약간의 수수료를 지불하면서 프로토콜에서 여러 번 담보를 잠금 해제할 수 있었습니다.

Terra의 DeFi는 7개월 전에 공격을 받았습니다.

고가의 Terra DeFi 익스플로잇이 지난 주까지 7개월 동안 보고되지 않았습니다. Terra 블록체인에 구축된 미러 프로토콜을 통해 사용자는 합성 자산을 사용하여 기술주에서 롱 또는 숏 포지션을 취할 수 있습니다.

그러나 프로토콜의 작동 메커니즘은 9천만 달러에 해킹당했습니다. Terra 체인 DeFi 공격은 지난주 Terra 커뮤니티 회원이자 "FatMan"이라는 분석가에 의해 처음 발견되었으며 현재 보안 분석가인 BlockSec에 의해 확인되었습니다.

커뮤니티 구성원폭로 5월 17일 미러 프로토콜 코드의 약점으로 해커가 2021년 10월 8일부터 최대 9천만 달러를 유출할 수 있습니다.

FatMan에 따르면말한다 그는 "순수한 우연"에 의해 해킹을 발견했고, 공격자는 "적은 비용과 위험 없이" 잠금 계약에서 담보를 잠금 해제할 수 있는 익스플로잇 덕분에 프로토콜에서 $89,706,164.03를 훔쳤습니다.

Terra Classic 온체인 통계노출된 공격자는 매번 $17.54에 불과한 동일한 트랜잭션 내에서 프로토콜에서 UST 자금을 여러 번 해제할 수 있었습니다.

정확한 익스플로잇 트랜잭션을 연구하여 보안 회사 BlockSec확인 커뮤니티 구성원의 발견.

어떻게 일이

사용자는 Mirror에서 주식에 대해 베팅하려면 최소 14일 동안 담보를 잠가야 합니다. 원래 Terra 디지털 통화인 LUNA가 이 담보(현재 LUNA Classic 또는 LUNC)에 포함되었습니다. mAssets와 지금은 없어진 스테이블코인 UST도 참여했습니다.

사용자는 거래가 완료되면 담보를 잠금 해제하고 돈을 지갑으로 반환할 수 있었습니다.

또한 스마트 컨트랙트에서 생성된 ID 번호를 사용하여 이 절차를 지원했습니다. 그러나 미러 프로토콜의 락 컨트랙트는 버그로 인해 사용자가 이전에 동일한 ID를 사용하여 자금을 인출했는지 여부를 확인할 수 없었습니다.

관련 읽기 |태국, 디지털 경제 준비, 2023년 말까지 VAT에서 암호화폐 이체 제거

하지만 미러 락 컨트랙트는 코드 오류로 누군가가 같은 아이디로 여러 번 자금을 인출했을 때 이를 확인하지 못한 것으로 보인다.

2021년 10월, 미확인 개체가 중복 ID 목록을 사용하여 보유한 것보다 수백 배 더 많은 담보를 반복적으로 잠금 해제할 수 있음을 발견했습니다. 이것은 본질적으로 범죄자가 허가 없이 자금을 인출할 수 있음을 의미했습니다.

새로운 공격

5월 30일, 발견된 지 불과 며칠 만에 DeFi 프로토콜이 다시 표적이 되었습니다.

에 따르면보고서, 최신 해킹은 회사의 가격 오라클 설정의 결함으로 인해 공격자가 이전 LUNC와 새로운 LUNA 토큰 간의 가격 차이를 이용할 수 있었습니다.

Terra 노드는 구식 오라클 소프트웨어를 실행하고 있었기 때문에 공격이 가능했습니다. 공격을 발견한 체인링크 커뮤니티 회원에 따르면 해커는 프로토콜에서 200만 달러 이상을 훔쳤다.

Terra/USD는 제로에 가까운 충돌 후 통합됩니다. 원천:트레이딩뷰

짧은 시간 동안 해킹이 눈에 띄지 않게 된 것은 이번이 처음이 아닙니다. 2022년 3월,해커는 6억 달러를 훔쳤습니다. Ronin 사이드체인에서, 그리고 누군가가 알아차리기까지 일주일이 걸렸습니다. 사용자가 되기 전까지는발견 아무도 문제가 있다는 것을 깨닫지 못한 채 돈을 인출할 수 없었습니다.

미러 프로토콜은조사 중 증권거래위원회는 아직 이 상황에 대해 공식 입장을 내놓지 않고 있다.

미러 프로토콜 팀은 아직 이 익스플로잇에 대한 성명을 발표하지 않아 커뮤니티의 분노를 불러일으켰습니다. 반면에 FatMan은 해커가 내부자라는 "강력한 증거"가 있다고 믿습니다.

이것이 역사상 최초의 DeFi 익스플로잇은 아니지만, 발견되기까지 가장 오랜 시간이 걸린 익스플로잇입니다. Terra는 압력이 쌓이면서 많은 조사를 받고 있습니다.

관련 읽기 |그렇게 만리장성이 아닌: 중국이 비트코인 채굴을 금지하는 데 비참하게 실패한 방법

Shutterstock의 주요 이미지 및 TradingView.com의 차트