close


The news is by your side.

Descubren exploit Terra que pasó bajo el radar durante 7 meses

La cifra extraída sube hasta los $90 millones

3.072

Se ha revelado que la aplicación DeFi Mirror Protocol basada en la antigua cadena de bloques Terrasucumbió a un exploit de $ 90 millones . Este evento sucedió durante 2022 y pasó completamente desapercibido hasta la semana pasada.

El protocolo espejo permitió a los usuarios tomar posiciones largas o cortas en acciones tecnológicas utilizando activos sintéticos.

Se construyó sobre Terra, que colapsó a principios de este mes después de que su principal moneda estable perdiera su paridad con el dólar estadounidense, arrastrando consigo a su token hermano Luna. (La cadena de bloques ahora ha sido revivida como Terra 2.0, mientras que la cadena original sigue viva como Terra Classic).

El exploit fue descubierto accidentalmente por un miembro de la comunidad de Terra conocido como “FatMan”. Ha sido uno de los antagonistas más vocales en el reciente lanzamiento de la nueva cadena de bloques Terra.

La firma de seguridad BlockSec corroboró los hallazgos del miembro de la comunidad al analizar la transacción de explotación específica. BlockSec confirmó que efectivamente se produjo un exploit.

El exploit de Terra en detalles

Cada vez que alguien quería apostar contra una acción en Mirror, tenía que bloquear la garantía, incluidos UST, LUNA Classic (LUNC) y mAssets, durante un mínimo de 14 días.

Una vez concluida la operación, los usuarios podían desbloquear la garantía para devolver los fondos a la billetera. Todo esto se hizo con la ayuda de números de identificación generados por contratos inteligentes.

Sin embargo, debido al código defectuoso, el contrato de bloqueo de Mirror supuestamente no pudo verificar cuando alguien usó la misma identificación más de una vez para retirar fondos.

En octubre de 2021, una entidad desconocida notó que podía usar una lista de identificaciones duplicadas para desbloquear repetidamente cientos de veces más garantías de las que tenían. Básicamente, esto significaba que el perpetrador podía retirar fondos sin ninguna autorización.

Esta entidad drenó alrededor de $ 90 millones en total, según los registros de blockchain.

Relacionado: El escepticismo de la criptocomunidad le sigue pasando factura a Terra 2.0 ¡Cayó 70%!

Pasar desapercibido durante siete meses

El exploit de Mirror puede ser uno de los raros eventos en los que, a pesar de la presencia de datos en la cadena, un hack importante permaneció oculto durante mucho tiempo. Por lo general, los proyectos notifican rápidamente los eventos de seguridad en aras de la transparencia.

BlockSec dijo que el exploit probablemente pasó desapercibido porque menos personas buscaban problemas en Terra en comparación con Ethereum y las cadenas compatibles con Ethereum.

Además, no había una interfaz en el sitio web de Mirror que permitiera verificar el monto total de la garantía en el protocolo. Esto hizo que fuera mucho más difícil notar la vulnerabilidad sin examinar una gran cantidad de datos de blockchain.

A principios de este mes, los desarrolladores de Mirror corrigieron silenciosamente la vulnerabilidad, aproximadamente al mismo tiempo que la moneda estable UST comenzó a colapsar.

Una semana después del parche, los miembros de la comunidad comenzaron a preguntarse si podría haber un exploit, según una discusión de gobernanza. No está claro si los desarrolladores de Mirror sabían sobre el exploit.

Sin embargo, esta no es la primera vez que un hack pasa desapercibido por un corto tiempo. Cuando los piratas informáticos robaron $ 600 millones de la cadena lateral Ronin en marzo de 2022, pasó una semana antes de que alguien se diera cuenta de lo que había sucedido. Solo cuando los usuarios descubrieron que no podían retirar sus fondos, alguien se dio cuenta de que había un déficit.

Mirror Protocol, que es objeto de una investigación de la SEC, aún no ha hecho un comentario oficial sobre el asunto. El equipo de Mirror o Terraform Labs aún no ha respondido a una solicitud de comentarios.

Descargo Responsabilidad

Los comentarios están cerrados.