建立在 Terra 上的 DeFi 遭受了 9000 万美元的攻击，七个月未被注意到

Mirror Protocol 是一个建立在旧 Terra 区块链上的 DeFi 应用程序，在 2021 年 10 月遭到价值 9000 万美元的攻击，直到上周才完全被发现。攻击者能够多次从协议中解锁抵押品，而每次只需支付一点费用。

Terra 的 DeFi 七个月前遭到攻击

直到上周，一个昂贵的 Terra DeFi 漏洞在七个月内都没有被报告。 Mirror Protocol 建立在 Terra 区块链之上，允许用户使用合成资产在科技股中做多或做空。

然而，该协议的运行机制遭到黑客攻击，损失 9000 万美元。 Terra 链 DeFi 攻击最早于上周由一位名为“FatMan”的 Terra 社区成员和分析师发现，现已得到安全分析师 BlockSec 的证实。

社区成员裸露 5 月 17 日镜像协议代码中的一个弱点，从 2021 年 10 月 8 日开始，允许黑客耗尽高达 9000 万美元。

根据 FatMan 的说法，谁说 他通过“纯粹的偶然发现”发现了黑客攻击，攻击者从协议中窃取了 89,706,164.03 美元，这要归功于一个允许他们“以极低的成本和零风险一次又一次地”从锁定合约中解锁抵押品的漏洞。

Terra Classic 链上统计数据透露 攻击者能够在同一笔交易中多次从协议中释放 UST 资金，每次仅需 17.54 美元。

通过研究精确利用交易，安全公司 BlockSec确认的 社区成员的调查结果。

它是如何发生的

用户必须锁定抵押品至少十四天才能在 Mirror 上做空股票。原始的 Terra 数字货币 LUNA 包含在该抵押品中（现为 LUNA Classic 或 LUNC）。 mAssets 和现已解散的稳定币 UST 也参与其中。

交易完成后，用户可以解锁抵押品并将资金退回钱包。

此外，使用智能合约生成的 ID 号有助于此过程。而镜像协议的锁仓合约，由于存在BUG，无法检测用户之前是否使用过同一个ID提现过。

相关阅读 |泰国为数字经济做好准备，到 2023 年底从增值税中取消加密转移

但是，由于代码错误，当有人使用同一 ID 多次提取资金时，Mirror 的锁定合约显然无法检查。

2021 年 10 月，一个身份不明的实体发现重复 ID 列表可用于重复解锁比他们拥有的抵押品多数百倍的抵押品。这实质上意味着犯罪分子可以在未经许可的情况下提取资金。

新的攻击

5 月 30 日，也就是发现几天后，DeFi 协议再次成为攻击目标。

根据报告， 最新的黑客攻击是由公司价格预言机设置的缺陷引起的，这使得攻击者可以利用旧 LUNC 和新 LUNA 代币之间的价格差异。

Terra 节点运行的是过时的 oracle 软件，这使得攻击得以发生。据发现此次攻击的 Chainlink 社区成员称，黑客从该协议中窃取了超过 200 万美元。

Terra/USD 在近零崩盘后盘整。来源：交易视图

这不是第一次黑客在短时间内被忽视。 2022年3月，黑客窃取了 6 亿美元 来自 Ronin 侧链，人们花了一周时间才注意到。直到用户发现 他们无法提取任何人都意识到存在问题的钱。

镜像协议，即被调查 证监会尚未就有关情况作出正式表态。

Mirror Protocol 团队尚未就该漏洞发表声明，这引发了社区的愤怒。另一方面，FatMan 认为有“令人信服的证据”表明黑客是内部人员。

虽然这不是历史上第一个 DeFi 漏洞，但却是发现时间最长的漏洞。随着压力的增加，Terra 受到了很多审查。

相关阅读 |不是那么长城：中国如何悲惨地禁止比特币开采失败

来自 Shutterstock 的特色图片和来自 TradingView.com 的图表