Terra分叉带来黑客「新套利」,Mirror Protocol损失200万美元事件分析-ODAILY_LUN:UNC

北京时间2022年5月30日21::46:19,,CertiK审计团队监测到一起针对MirrorProtocol的攻击。截至撰稿时,总损失约为200万美元。

此次攻击的主要原因在于Terra验证节点在分叉后没有更新,导致价格预言机不准确——报告了LUNA,而非实际的LUNC。

这使得用户通过抵押LUNC借贷到的资产远大于提供抵押的金额。

漏洞交易

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

“去中心化Twitter”项目Bluesky下载量突破百万次:7月7日消息,Data.ai数据显示,“去中心化Twitter”项目Bluesky在iOS和Android平台的下载量已突破百万次。具体地区而言,美国的Bluesky安装量最多,占40%。其次是巴西(占安装量的9.5%)、日本(8.5%)、泰国(7.5%)和英国(4.6%)。[2023/7/7 22:24:38]

参考:https://forum.mirror.finance/t/another-exploit/3511

攻击步骤

该次攻击中有多笔用户存入LUNC并借贷其他资产的交易。

某次交易示例如下:

Anchor Protocol:请停止与xAnchor & EthAnchor交互以及桥接资产至Terra:5月13日消息,Terra生态固定利率协议Anchor Protocol发推提醒用户称,请停止与xAnchor & EthAnchor交互,也不要桥接bETH、sAVAX、bSOL、bATOM抵押品至Terra,因为该区块链目前已经停止,请继续关注未来的更新。[2022/5/13 3:13:31]

由于Terra验证节点没有及时更新价格预言机,该笔交易允许攻击者抵押10万枚LUNC贷款30,275枚DOT。

Peter Schiff称黄金在运输和防没收方面优于比特币,遭到社区反驳:黄金支持者、比特币反对人士Peter Schiff在7月29日的一条推文中表示,比特币在运输和防没收方面的便利程度不及黄金,转移和保存黄金的所有权更容易。这一言论立即招致加密社区的反驳,比特币支持者强调了黄金的缺陷,即黄金不仅体积庞大更难运输,而且长期以来私人储存黄金也极其困难。正如Saifedean Ammous在他的畅销书《比特币标准(The Bitcoin Standard)》中指出的那样,政府在20世纪早期没收黄金,实际上结束了基于实物黄金储备的个人主权。(Cointelegraph)[2020/7/29]

漏洞分析

在Terra分叉之后,现在的Terra已分为:

Peter Schiff:很多比特币信徒都对“金钱(money)”知之甚少:黄金支持者PeterSchiff今日发推称,比特币信徒指责我不懂技术。但当我在Twitter上与他们交流时,我发现他们中有很多人对金钱(money)或其历史知之甚少。这也帮助解释了为什么他们如此容易被“比特币”吸引,而对“黄金”却不屑一顾。[2020/4/12]

①TerraClassic,LUNA价值0.0001美元。

②Terra2.0,其LUNA价格约为5美元。

Mirrorprotocol运行于旧的Terra链上,并使用TerraClassic提供的价格预言机服务来确定LUNA价格。

然而,一些验证者在TerraClassic分叉后并没有更新他们的软件,并且报告的是分叉后的LUNA价格而非LUNC的价格。

例如在下方这笔交易中,TerraClassic的验证节点报告的LUNC价格约为5美元,而不是0.0001美元。

在正常情况下,假如一个用户想在Mirrorprotocol上进行贷款,他需要提供更多的抵押品以进行借贷,比如提供2万美元的抵押来借贷1万美元。

也就是需要提供整整2亿枚价值0.0001美元的LUNC代币来进行抵押,但如果是使用价值5美元的LUNA,则只需要提供4000枚。

然而,由于一些验证器已经过时,导致预言机提供了LUNA的价格而非LUNC的价格,攻击者仅需提供4000枚LUNC即可借贷到1万美元。

目前,如Orion.money的部分验证者已修复该漏洞:

Orion.money昨日提供的LUNA价格

Orion.money今日提供的LUNC价格

资产去向

据FatManTerra证明,Mirrorprotocol的损失已达200万美元。

因价格预言机导致的攻击事件绝非一例,预言机不应成为链上「套利」专用工具。

加密领域安全风险层出不穷,项目团队应尽可能提高相关警惕并时刻关注安全事件以自查,并及时完善和审计合约代码。

参考链接:

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-4:283ms