Как сообщил один из наиболее активных участников сообщества Terra под псевдонимом «FatMan», злоумышленники вывели $90 млн из Mirror Protocol еще в октябре 2021 года. Однако, уязвимость так и не была исправлена разработчиками. Специалисты из компании BlockSec, работающей в сфере безопасности блокчейнов, провели собственный анализ уязвимости и подтвердили заявление FatMan.
Mirror Protocol позволяет пользователям торговать акциями технологических компаний в виде синтетических активов. При выставлении позиции трейдер должен заблокировать обеспечение в криптовалютах на 14 дней. После истечения этого срока обеспечение можно разблокировать, сгенерировав специальный ID-код. Уязвимость была в том, что смарт-контракт не проверял, что ID-код уже был использован. Таким образом хакеры смогли «разблокировать» средства, которых у них изначально не было, и вывести их.
Обычно такие взломы обнаруживаются достаточно быстро. Однако, как считают специалисты BlockSec, уязвимость оставалась активной в течение 7 месяцев потому, что гораздо меньше людей исследуют проекты и транзакции в сети Terra на предмет уязвимостей, по сравнению с Эфириумом. Кроме того, на сайте Mirror Protocol нет функции, позволяющей отследить общий объем обеспечения, заблокированный в проекте.
Интересно, что в начале месяца разработчики Mirror Protocol без особых заявлений исправили ошибку. Время устранения уязвимости примерно совпало с началом краха экосистемы Terra, поэтому инцидент не привлек внимания.
Комиссия по ценным бумагам и биржам США (SEC) еще весной прошлого года пригласила основателя Terraform Labs До Квона (Do Kwon) для дачи показаний по поводу работы Mirror Protocol. Однако До Квон подал встречный иск против регулятора.