事發七個月竟無人知曉？舊 Terra 生態驚爆 9000 萬美元 DeFi 漏洞 - 桑幣筆記Zombit

　　根據 The Block 報導，基於 Terra 區塊鏈（舊版）的 DeFi 協議 Mirror Protocol 於 2021 年 10 月遭遇了價值 9,000 萬美元的漏洞攻擊。該漏洞由近期最活躍的 Terra 反對論者FatMan 揭露，而安全審計公司 BlockSec 進一步對鏈上交易進行分析後也證實了該漏洞確實存在且遭到利用。漏洞利用是如何發生的？

　　Mirror 是一款允許用戶買賣合成資產的 DeFi 協議，每當有人想在 Mirror 上交易合成資產時，他們必須鎖定加密資產作為抵押品（包括 UST、LUNA Classic (LUNC) 和 mAssets），並鎖倉至少 14 天。

　　當交易結束後，用戶可以解鎖抵押品，並將其釋放回錢包。所有這些都是透過智能合約生成的 ID 完成的。

　　然而，疑似由於代碼錯誤，當有人多次使用同一個 ID 提取資金時，Mirror 的鎖倉合約未能正確的檢查。

　　2021 年 10 月，一個未知實體注意到這一漏洞，並藉此使用一系列複製 ID 反覆解鎖數百倍的抵押品。簡單來說，漏洞利用者在沒有任何授權的情況下提取了合約中的資金，最終獲利價值約 9000 萬美元。

　　七個月無人問津

　　儘管交易數據皆在鏈上公開，但長達七個月的時間，這起重大的駭客攻擊卻都沒有被公開。通常為了協議運營的透明度，項目方都會在短時間內主動報告相關漏洞安全事件。

　　安全審計公司 BlockSec 表示，與以太坊和與以太坊兼容鏈相比，該漏洞可能很難被注意到，因為在 Terra 上偵測漏洞與問題的人或組織相對較少。此外，Mirror 網站上也沒有可以查看協議中總抵押品的界面，導致該問題更難被發現。

　　根據 The Block 的報導，Mirror 開發人員在 5 月初悄悄修復了該漏洞，大約與 UST 穩定幣崩盤的時間點一致。

　　參考來源

　　????加入桑幣的社群平台，跟我們一起討論加密貨幣新資訊！????

　　↑點擊上方圖示即可加入↑

　　桑幣目前正在徵文中，我們想要讓好的文章讓更多人看見！n只要是跟金融科技、區塊鏈及加密貨幣相關的文章，都非常歡迎向我們投稿。n投稿信箱： [email protected]Tags: DeFiMirror ProtocolTerra安全漏洞