北京時間2022年5月30日21::46:19,,CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時,總損失約為200萬美元。
此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新,導致價格預言機不準確——報告了LUNA,而非實際的LUNC。
這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。
漏洞交易
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
被Bscscan標記為“NimbusPlatform Exploiter 2”的黑地址已將資金轉至Tornado Cash:金色財經消息,據CertiK監測,被Bscscan標記為“NimbusPlatform Exploiter 2”的黑地址0x9D3B5…已將資金轉至Tornado Cash。截至目前,NimbusPlatform攻擊者已經轉移278枚BNB(約9.1萬美元)。[2023/3/17 13:09:48]
參考:https://forum.mirror.finance/t/another-exploit/3511
攻擊步驟
該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。
數據顯示投資者因Terra持續崩盤開始轉向其他穩定幣:金色財經報道,在Terra持續崩盤的情況下,投資者開始轉向其他穩定幣,比如DAI和MakerDAO治理TokenMKR。根據CoinMarketCap數據顯示,MKR市值目前已達14億美元,成為市值第八大的DeFi代幣。與此同時,DAI也成為市值第四大的穩定幣,市值達到64.7億美元。
另據DeFiLlama數據顯示,市場近期對MKR的興趣激增,有望推動其成為市值第二大的DeFi代幣。截至本周五(5月13日),MakerDAO鎖倉量已經超過Curve、SushiSwap和Lido。值得一提的是,在TerraUSD走低期間,MakerDAO官方社交媒體還特地撰文稱“Maker協議是健康的、流動的和有償付能力的,具有164%的抵押率和數十億的流動性儲備。所有DAI都是超額抵押的。”(decrypt)[2022/5/14 3:15:35]
某次交易示例如下:
馬斯克計劃以后再次讓Twitter上市:5月4日消息,馬斯克計劃以后再次讓Twitter上市。消息人士透露,馬斯克表示他計劃在收購Twitter后的最短三年內讓它進行IPO。(道瓊斯新聞)[2022/5/4 2:49:03]
由于Terra驗證節點沒有及時更新價格預言機,該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。
漏洞分析
在Terra分叉之后,現在的Terra已分為:
①TerraClassic,LUNA價值0.0001美元。
WeStarter快閃兌換dFuture 1小時參與金額達5194.6萬美元:據官方消息,WeStarter快閃兌換dFuture 1小時參與金額達到5194.6萬美金,超1038.92倍,共發起鏈上交易3467筆。
據悉,dFuture是去中心化自動做市商衍生品交易協議。WeStarter是基于Heco網絡的初始兌換平臺,通過產品的創新與充足的行業資源,承載多種類型資產的資金與資源需求,打造DeFi項目加速器。WeStarter平臺可支持跨鏈資產的資產兌換,并持續發掘多領域方向如NFT等資產,提供多種分發方式給開發者與投資者選擇。[2021/3/3 18:08:39]
②Terra2.0,其LUNA價格約為5美元。
Mirrorprotocol運行于舊的Terra鏈上,并使用TerraClassic提供的價格預言機服務來確定LUNA價格。
然而,一些驗證者在TerraClassic分叉后并沒有更新他們的軟件,并且報告的是分叉后的LUNA價格而非LUNC的價格。
例如在下方這筆交易中,TerraClassic的驗證節點報告的LUNC價格約為5美元,而不是0.0001美元。
在正常情況下,假如一個用戶想在Mirrorprotocol上進行貸款,他需要提供更多的抵押品以進行借貸,比如提供2萬美元的抵押來借貸1萬美元。
也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押,但如果是使用價值5美元的LUNA,則只需要提供4000枚。
然而,由于一些驗證器已經過時,導致預言機提供了LUNA的價格而非LUNC的價格,攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。
目前,如Orion.money的部分驗證者已修復該漏洞:
Orion.money昨日提供的LUNA價格
Orion.money今日提供的LUNC價格
資產去向
據FatManTerra證明,Mirrorprotocol的損失已達200萬美元。
因價格預言機導致的攻擊事件絕非一例,預言機不應成為鏈上「套利」專用工具。
加密領域安全風險層出不窮,項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查,并及時完善和審計合約代碼。
參考鏈接:
https://twitter.com/FatManTerra/status/1531365988809293825
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
https://forum.mirror.finance/t/another-exploit/3511
https://twitter.com/ChainLinkGod/status/1531384782046711808
https://twitter.com/blockpane/status/1531369644531101696
https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit
過去的一周,波場TRON項目進展順利,為滿足波場TRON全球社區愛好者閱讀,本周周報共分為14種語言,請您選擇閱讀.
1900/1/1 0:00:00雖然黑客的技術經常成為頭條新聞,但對加密公司的另一個更低調的威脅正潛伏在離家更近的地方。根據Verizon的一項調查,內部人員對大約22%的安全事件負責,而金融服務行業受到的影響最為嚴重.
1900/1/1 0:00:00據最新消息,TRX已正式登陸Bitso交易所,這是波場TRON又一國際化與合規化新突破。 波場TRX混合合約交易區已經登陸50EX:據官方消息,波場TRX混合合約交易區已經登陸50EX.
1900/1/1 0:00:002022年7月12日,UniswapV3平臺遭受了網絡釣魚攻擊。據Tokenview數據顯示,攻擊者已盜取7,573枚ETH,價值約810萬美元.
1900/1/1 0:00:002022年已經過半,過去6個月加密領域新故事、新挑戰不斷,而波場TRON則朝著加速互聯網去中心化的目標繼續前進,并在規模體量、國際化、生態創新等多個方面取得了重大突破.
1900/1/1 0:00:00作為全球最受歡迎的公鏈之一,波場TRON自創立以來始終保持高速發展,生態建設全面開花,各項數據突飛猛進。我們整理了波場TRON取得的輝煌成就,與大家共同見證波場TRON的發展歷程.
1900/1/1 0:00:00