DeFi-приложение Mirror Protocol на базе старой версии блокчейна Terra подверглось эксплойту в октябре 2021 года. В результате атаки из протокола было выведено $90 млн. Однако взлом оставался незамеченным до прошлой недели.
Mirror Protocol позволял клиентам торговать акциями компаний при помощи синтетических активов.
Об атаке сообщил участник сообщества Terra с ником FatMan. Его предположение подтвердила аналитическая компания BlockSec.
Аналитики обнаружили, что когда пользователь хотел открыть короткую позицию в Mirror Protocol, он должен был внести залог минимум на 14 дней. После того как пользователь прекращал торговлю, все активы можно было вернуть обратно в кошелек. Для того чтобы узнать владельца активов, использовался сгенерированный смарт-контрактом идентификатор. Однако в коде содержалась ошибка, благодаря которой смарт-контракт не проверял, идентификатор.
В 2021 году злоумышленнику удалось использовать одни и те же идентификаторы и вывести из Mirror Protocol в общей сложности около $90 млн.
В BlockSec сообщили, что об атаке не было известно просто потому что анализу данных в блокчейне Terra уделялось меньше внимания, чем другим популярным сетям.
Разработчики Mirror Protocol исправили ошибку в мае, в то же время, когда произошла отвязка UST.