Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析_LUN:Masternodecoin

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

攻擊步驟

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

比特幣礦企TeraWulf今年1月挖出157枚比特幣，環比增長逾25%:金色財經報道，比特幣礦企TeraWulf宣布，2023年1月自挖157枚比特幣，相比2022年12月增長逾25%。TeraWulf在1月部署1.8萬臺礦機，算力約為2.0 EH/s。其中約有1.15萬臺是全資擁有，算力約為1.4 EH/s；約6500臺是被托管的礦機，公司為此收取托管費和挖礦利潤分成。

據此前報道，TeraWulf達成一項重組債務的協議，但需進行股本融資。該公司通過公開募股籌集3200萬美元，并與現有貸款人達成了一項“原則上具有約束力的協議”，以重組其債務。交易完成后，該公司預計將實現自由現金流。[2023/2/8 11:54:23]

漏洞分析

幣安支持Terra空投，今晚暫停原LUNA和UST存取款及現貨交易:5月26日消息，幣安將把當前的Terra網絡重命名為Terra Classic網絡，并支持Terra網絡空投，將于5月26日22:00暫停原LUNA和原UST的存取款，23:00暫停LUNA/BUSD和UST/BUSD現貨交易，在將LUNA和UST的代幣名稱更改為LUNC和USTC后，將于5月30日17:30開放LUNC/BUSD和USTC/BUSD現貨交易，將于5月30日17:45恢復LUNC和USTC存取款。[2022/5/26 3:44:02]

在Terra分叉之后，現在的Terra已分為：

Terra創始人Do Kwon回應UST脫錨擔憂：已被討論太多次，無需理會:5月8日消息，Terra創始人Do Kwon對此在社交媒體上回應部分加密KOL對UST脫錨的擔憂：關于 UST 脫錨的問題已經被討論無數次了，無需理會。行情數據顯示，LUNA跌破65美元，現報價64.81美元，24 小時跌幅15.68%。UST 現報價0.9919美元，一度跌至0.98美元。Curve平臺UST/3CRV池資產比例出現傾斜，目前達到67%/33%。[2022/5/8 2:58:28]

①TerraClassic，LUNA價值0.0001美元。

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：LUNTERTerraLUNALuniverseMasternodecoinTerraform DAOWLUNA價格

AAVE