Une faille de 90 millions de dollars de DeFi sur Terra passée inaperçue pendant sept mois
Mirror Protocol, une application DeFi construite sur l’ancienne blockchain Terra, a été attaquée par une faille de 90 millions de dollars en octobre 2021, et il est resté entièrement non découvert jusqu’à la semaine dernière. L’attaquant a pu débloquer des garanties du protocole à plusieurs reprises en payant simplement une petite somme à chaque fois.
Comment le hack de Terra DeFi a vu le jour
Le protocole Mirror permettait aux utilisateurs de prendre des positions longues ou courtes sur des valeurs technologiques en utilisant des actifs synthétiques. Il était basé sur Terra, qui s’est effondré au début du mois après que sa principale monnaie stable a perdu son ancrage au dollar américain, entraînant dans sa chute son token jumeau Luna. (La blockchain a été relancée sous le nom de Terra 2.0, tandis que la chaîne d’origine continue de vivre sous le nom de Terra Classic).
Lorsqu’une personne voulait parier contre une action sur Mirror, elle devait bloquer les garanties – y compris UST, LUNA Classic (LUNC) et mAssets – pendant un minimum de 14 jours.
Une fois la transaction terminée, les utilisateurs pouvaient déverrouiller la garantie pour libérer les fonds dans le portefeuille. Tout cela se faisait à l’aide de numéros d’identification générés par des contrats intelligents.
Cependant, en raison d’un code bogué, le contrat de verrouillage de Mirror n’aurait pas vérifié si une personne utilisait le même identifiant plus d’une fois pour retirer des fonds.
En octobre 2021, une entité inconnue a réalisé qu’elle pouvait déployer une liste d’identifiants en double pour débloquer à plusieurs reprises beaucoup plus de garanties qu’elle n’en avait. Il était ainsi possible de retirer des fonds de manière arbitraire sans aucune autorisation sur la chaîne Terra via la brèche. Exploitant la faille de sécurité, l’entité a drainé 90 millions de dollars du Mirror Protocol, selon les enregistrements de la blockchain.
La découverte très tardive de cette faille
La faille a été découverte par un membre de la communauté Terra et un analyste appelé « FatMan ». Il a été l’un des antagonistes les plus virulents du récent lancement de la nouvelle blockchain Terra.
« Deux cafés plus tard, alors que j’étais sur le point d’abandonner, j’ai trouvé ça. Attendez… Qu’est-ce qui se passe ici ? Une seule transaction d’octobre 2021 débloquant une position encore et encore – et elle a été exécutée. Voici la transaction » a publié FatMan dans son thread explicatif.
Les statistiques sur la chaîne Terra Classic ont révélé que l’attaquant a pu libérer des fonds UST du protocole plusieurs fois au cours de la même transaction pour seulement 17,54 dollars à chaque fois.
En étudiant la transaction précise de l’exploit, la société de sécurité BlockSec a confirmé les conclusions du membre de la communauté.
La faille de Mirror est peut-être l’un des rares événements où, malgré la présence de données sur la chaîne, un piratage majeur n’a pas été divulgué pendant longtemps. Habituellement, les projets sont prompts à signaler les événements de sécurité dans un souci de transparence.
Selon BlockSec, la faille est probablement passée inaperçue parce que moins de personnes recherchaient les problèmes sur Terra que sur Ethereum et les chaînes compatibles avec Ethereum.
En outre, il n’y avait pas d’interface sur le site Web de Mirror permettant de vérifier le montant total des garanties dans le protocole. Il était donc beaucoup plus difficile de remarquer la vulnérabilité sans passer au crible une grande quantité de données de blockchain.
Une nouvelle attaque
Le 30 mai, quelques jours seulement après cette découverte, le protocole DeFi a de nouveau été pris pour cible.
Selon les rapports, ce nouveau piratage est dû à une faille dans le paramétrage des oracles de prix de la société, qui a permis à l’attaquant de tirer parti d’une disparité de prix entre les anciens token LUNC et les nouveaux tokens LUNA.
Les nœuds de Terra utilisaient un logiciel d’oracle obsolète, ce qui a permis à l’attaque de se produire. Le pirate a volé plus de 2 millions de dollars du protocole, selon le membre de la communauté Chainlink qui a découvert l’attaque.
Il est particulièrement rare que de telles failles passent inaperçues aussi longtemps, cependant cela montre qu’il est dangereux d’investir dans des altcoins et c’est pour cela qu’en période de bear-market, il est toujours plus prudent d’investir dans le bitcoin. Ceci n’est pas un conseil d’investissement, mais un rappel de la sécurité du bitcoin.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Observateur de la révolution monétaire, économique et sociale.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.