Terra : 90 millions de dollars se sont fait subtiliser sur Mirror, et cela est passé inaperçu pendant 7 mois
Un utilisateur malveillant a réussi à profiter d'une faille dans le code de Mirror Protocol en octobre dernier afin de subtiliser 90 millions de dollars à la plateforme. Seulement, les faits viennent d'être découverts par un utilisateur lambda, et il se pourrait que l'équipe de développement ait été au courant.
Mirror (MIR) s'est fait voler 90 millions de dollars
Il semblerait que même les sommes les plus importantes puissent parfois échapper à l'attention des développeurs. Effectivement, nous venons d'apprendre que Mirror (MIR), un protocole de finance décentralisée (DeFi) bâti sur la blockchain Terra Classic (LUNC), s'est fait subtiliser 90 millions de dollars en octobre 2021.
Le protocole Mirror permet à ses utilisateurs de shorter ou de long des actifs fongibles calqués sur leur valeur réelle. En d'autres termes, cela permet de trader sur des équivalents d'actions comme Apple, Amazon, ou Google via un oracle chargé de surveiller le cours réel de ces dernières.
La révélation vient de l'utilisateur de Twitter « @FatManTerra », connu pour sa participation active sur le forum de recherche de Terra, et plus particulièrement depuis l'annonce du fork de la blockchain. Selon lui, l'utilisateur malveillant aurait réussi à dérober des sommes importantes en partant de montants bien inférieurs.
🧵👇 What if I told you that Mirror Protocol, up until 18 days ago, was susceptible to the one of the most profitable exploits of all time, allowing an attacker to generate $4.3m from $10k in a single transaction? Here's how I discovered this - by pure serendipity. 🧵👇
— FatMan (@FatManTerra) May 27, 2022
« Et si je vous disais que Mirror Protocol, jusqu'à il y a 18 jours, était sensible à l'un des exploits les plus rentables de tous les temps, permettant à un attaquant de générer 4,3 millions de dollars à partir de 10 000 dollars en une seule transaction ? Voici comment j'ai découvert cela - par pure sérendipité. »
👉 Retrouvez notre dossier sur les conséquences de l'effondrement de l'écosystème Terra (UST/LUNA)
Que s'est-il passé ?
Dans les grandes lignes, Mirror Protocol permet de short sur des actifs en déposant un autre actif en garantie pendant 2 semaines. Il est ainsi nécessaire de verrouiller de l'UST, du LUNA Classic (LUNC) ou d'autres cryptomonnaies afin de pouvoir investir.
Une fois la transaction effectuée, l'utilisateur peut récupérer ses actifs déposés en collateral via un système de smart contracts. Toutefois, suite à une faille, l'attaquant a pu répéter cette opération de retraits plusieurs centaines de fois, sans jamais déposer de collateral supplémentaire.
« Le contrat de verrouillage ne vérifiait pas que les fonds étaient envoyés depuis le contrat de minting. L'attaquant a donc ouvert une position avec 10 dollars de garantie et envoyé 10 000 dollars directement au contrat de verrouillage. Il pouvait alors déverrouiller en boucle les garanties d'autres personnes, encore et encore, à partir du contrat. »
L'entreprise de sécurité blockchain BlockSec a corroboré les dires de FatMan via Twitter, indiquant que les transactions étaient visibles depuis l'explorateur de blocs de Terra Classic, et confirmant en même temps que le protocole a bel et bien été exploité.
Ainsi, selon les données on-chain, notre attaquant aurait dérobé au total quasiment 90 millions de dollars. Une somme tout de même importante, qui vient, à priori, tout juste d'être découverte.
Toutefois, des utilisateurs de Mirror Protocol ont noté le 17 mai qu'un patch avait été appliqué justement afin d'éviter la duplication de ces ordres, ce qui avait laissé libre cours à la spéculation d'une attaque dissimulée par le protocole.
Maintenant que les faits sont établis et confirmés, reste donc à savoir si l'équipe derrière Mirror était au courant ou non.
💡 Sur le même sujet : Wormhole verse une prime de 10 millions de dollars à un hacker whitehat pour la découverte d’une faille
Sources : Twitter, Terra Finder
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌