Terra : 90 millions de dollars se sont fait subtiliser sur Mirror, et cela est passé inaperçu pendant 7 mois

Un utilisateur malveillant a réussi à profiter d'une faille dans le code de Mirror Protocol en octobre dernier afin de subtiliser 90 millions de dollars à la plateforme. Seulement, les faits viennent d'être découverts par un utilisateur lambda, et il se pourrait que l'équipe de développement ait été au courant.

Terra : 90 millions de dollars se sont fait subtiliser sur Mirror, et cela est passé inaperçu pendant 7 mois

Mirror (MIR) s'est fait voler 90 millions de dollars

Il semblerait que même les sommes les plus importantes puissent parfois échapper à l'attention des développeurs. Effectivement, nous venons d'apprendre que Mirror (MIR), un protocole de finance décentralisée (DeFi) bâti sur la blockchain Terra Classic (LUNC), s'est fait subtiliser 90 millions de dollars en octobre 2021.

Le protocole Mirror permet à ses utilisateurs de shorter ou de long des actifs fongibles calqués sur leur valeur réelle. En d'autres termes, cela permet de trader sur des équivalents d'actions comme Apple, Amazon, ou Google via un oracle chargé de surveiller le cours réel de ces dernières.

La révélation vient de l'utilisateur de Twitter « @FatManTerra », connu pour sa participation active sur le forum de recherche de Terra, et plus particulièrement depuis l'annonce du fork de la blockchain. Selon lui, l'utilisateur malveillant aurait réussi à dérober des sommes importantes en partant de montants bien inférieurs.

« Et si je vous disais que Mirror Protocol, jusqu'à il y a 18 jours, était sensible à l'un des exploits les plus rentables de tous les temps, permettant à un attaquant de générer 4,3 millions de dollars à partir de 10 000 dollars en une seule transaction ? Voici comment j'ai découvert cela - par pure sérendipité. »

👉 Retrouvez notre dossier sur les conséquences de l'effondrement de l'écosystème Terra (UST/LUNA)

Que s'est-il passé ?

Dans les grandes lignes, Mirror Protocol permet de short sur des actifs en déposant un autre actif en garantie pendant 2 semaines. Il est ainsi nécessaire de verrouiller de l'UST, du LUNA Classic (LUNC) ou d'autres cryptomonnaies afin de pouvoir investir.

Une fois la transaction effectuée, l'utilisateur peut récupérer ses actifs déposés en collateral via un système de smart contracts. Toutefois, suite à une faille, l'attaquant a pu répéter cette opération de retraits plusieurs centaines de fois, sans jamais déposer de collateral supplémentaire.

« Le contrat de verrouillage ne vérifiait pas que les fonds étaient envoyés depuis le contrat de minting. L'attaquant a donc ouvert une position avec 10 dollars de garantie et envoyé 10 000 dollars directement au contrat de verrouillage. Il pouvait alors déverrouiller en boucle les garanties d'autres personnes, encore et encore, à partir du contrat. »

L'entreprise de sécurité blockchain BlockSec a corroboré les dires de FatMan via Twitter, indiquant que les transactions étaient visibles depuis l'explorateur de blocs de Terra Classic, et confirmant en même temps que le protocole a bel et bien été exploité.

Ainsi, selon les données on-chain, notre attaquant aurait dérobé au total quasiment 90 millions de dollars. Une somme tout de même importante, qui vient, à priori, tout juste d'être découverte.

Toutefois, des utilisateurs de Mirror Protocol ont noté le 17 mai qu'un patch avait été appliqué justement afin d'éviter la duplication de ces ordres, ce qui avait laissé libre cours à la spéculation d'une attaque dissimulée par le protocole.

Maintenant que les faits sont établis et confirmés, reste donc à savoir si l'équipe derrière Mirror était au courant ou non.

💡 Sur le même sujet : Wormhole verse une prime de 10 millions de dollars à un hacker whitehat pour la découverte d’une faille

Sources : Twitter, Terra Finder

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

1 milliard de dollars de liquidations : le marché crypto voit rouge

1 milliard de dollars de liquidations : le marché crypto voit rouge

Quelles sont les 3 cryptos qui surperforment le marché ?

Quelles sont les 3 cryptos qui surperforment le marché ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?