Mirror, un protocole d’applications financières décentralisées construit sur la blockchain Terra Classic aurait subi une autre attaque. En effet, les pirates ont pu exploiter une vulnérabilité dans la blockchain Terra Classic (LUC). Cela survient quelques jours seulement après la découverte du dernier exploit du protocole avec une perte de 90M de dollars.
Un deuxième piratage pour Mirror
L’attaquant utilise apparemment l’oracle des prix pour ne pas faire correspondre l’ancien jeton LUNC avec le nouveau jeton LUNA. La nouvelle de l’exploit a été transmise par un membre de la communauté Mirror qui en a parlé sur le forum de la communauté Mirror.
L’oracle de tarification avait une bogue qui indiquait au système que LUNC valait environ 5 UST alors qu’en fait, il valait des microcents. Un attaquant a pu charger 1,3 million de dollars en garantie pour 1 000 dollars en LUNC, mais peut emprunter pour retirer les actifs réels.
Les pools de minage mBTC, mETH, mDOT et mGLXY ont tous été vidés. Si l’équipe Mirror ne résout pas le problème, l’attaquant pourrait vider tous les pools de mAsset (par exemple, mSPY et mAAPL, mAMZN, etc.)
Le comportement négligent de l’équipe Mirror Protocol est visible dans son historique d’attaques. Cependant, la semaine dernière, FatMan a mis en évidence une liste d’attaques sur le système.
Here is the address for your perusal. https://t.co/7L9aeE38TF I was able to map this address to a Terra wallet via bridge tracing, and it had some large and interesting transactions, so I decided to dig in. Here's the Terra wallet. https://t.co/zAtn6GfVil (8/12)
— FatMan (@FatManTerra) May 27, 2022
90 millions de dollars perdus inaperçus
En octobre 2021, Mirror Protocol a offert 90 millions de dollars involontairement sur l’ancien canal Terra. Un exploit qui a été complètement ignoré jusqu’à la semaine dernière.
Lorsque les utilisateurs souhaitent vendre à découvert des actions sur la plate-forme Mirror, ils doivent verrouiller leurs garanties, y compris TerraUSD (UST), LUNA Classic (LUNAC) et Mirror Assets (mAssets) pendant au moins 14 jours. Une fois la transaction terminée, ils peuvent débloquer la garantie pour ramener les fonds dans le portefeuille.
Les numéros d’identification générés par les contrats intelligents pilotent toutes les activités commerciales. Cependant, une bogue dans le code provoquait l’échec du contrat de verrouillage de Mirror lorsqu’une personne utilisait plusieurs fois le même identifiant pour les retraits. Cela signifie que les auteurs peuvent retirer des fonds sans aucune autorisation.
En octobre 2021, une entité inconnue a remarqué qu’elle pouvait débloquer des centaines de fois plus de garanties. Cela en utilisant un ensemble d’identifiants en double. Au total, il a dépensé environ 90 millions de dollars, selon les dossiers disponibles.
A découvrir : La Banque centrale de Russie prévoit d’utiliser les crypto-monnaies pour les paiements internationaux.
Auteur/autrice
