90 milyon dolarlık DeFi istismarı 7 ay sonra fark edildi
Eski Terra blok zincirine bağlı DeFi uygulaması Mirror Protokol’ün yaşadığı hack 7 ay boyunca fark edilmedi. İstismar, geçen hafta bir Terra topluluğu üyesi tarafından ortaya çıkarıldı.
2021 yılının Ekim ayında Mirror Protokol’ün hack’lenmesi 7 ay boyunca anlaşılmadı. Eski Terra blok zincirine bağlı DeFi uygulamasında yaşanan olay geçen hafta “FatMan” olarak bilinen bir Terra topluluğu üyesi tarafından fark edildi. Güvenlik firması BlockSec, belirli istismar işlemini analiz ederek topluluk üyesinin bulgularını onayladı ve yaşanan istismarı doğruladı.
İstismar nasıl gerçekleşti
Miror‘da bir kişi hisse senedine bahis yapmak istediğinde, UST, LUNA Classic (LUNC) ve mAssets dahil olmak üzere teminatını 14 gün boyunca kilitlemek zorundaydı. İşlem tamamlandıktan sonra kullanıcılar, fonları cüzdanlarına aktarmak için teminat kilidini açabiliyordu. İstismar akıllı sözleşmeyle oluşturulan kimlik numaralarının yardımıyla yapıldığı kaydedildi.
Fakat, buggy kodu nedeniyle, Mirror’ın kilit sözleşmesinin, para çekmek için aynı kimliği birden fazla kez kullanıp kullanmadığının kontrol edilmediği iddia edildi.
2021 yılının Ekim ayında kimliği belirlenemeyen kişilerin, sahip olduklarından yüzlerce kat fazla teminatı tekrar tekrar açmak için yinelenen kimlik listesini kullanabileceklerini fark etti. Bu durum sayesinde, fail herhangi bir yetkilendirme olmadan para çekebilecek. Blockchain kayıtlarına göre, bu varlık toplamda yaklaşık 90 milyon dolar harcadı.
7 aydır fark edilmedi
Mirror hack’i, on-chain verilerin varlığına rağmen, büyük bir hack’in uzun süre açıklanmadığı ender olaylardan biri. Bilindiği üzere, şeffaflık adına güvenlik olayları hızlı bir şekilde bildirilir. BlockSec, Ethereum ve Ethereum uyumlu zincirlere kıyasla daha az kişinin Terra’daki sorunları taradığı için istismarın fark edilmediğini açıkladı.
Mirror Protokolün resmi web sitesinde, protokoldeki toplam teminat miktarını kontrol etmeyi mümkün kılan bir arayüz yok. Bu durum, büyük ihtimalle blok zinciri verisini elemeden güvenlik açığını fark etmeyi çok daha zor hale getirdi. Platformun geliştiricileri güvenlik açığını bu ayın başlarında sessizce düzetti.
Yönetim görüşmelerinde, yapılan düzeltmeden bir hafta sonra, topluluk üyeleri bir istismar olup olmadığını araştırmaya başladı. Geliştiricilerin ise bu istismardan haberi olup olmadığı ise henüz belli değil.
SEC soruşturmasına konu olan Mirror Protokol, konuyla ilgili henüz resmi bir açıklama yapmadı. Mirror veya Terraform Labs’deki ekipte sessizliğini koruyor.