Vào tháng 10/2021, giao thức DeFi Mirror Protocol đã bị khai thác lỗ hổng, mất số tiền ước tính trị giá khoảng 90 triệu USD trên mạng blockchain Terra cũ. Tuy nhiên, không có ai nhận ra vụ tấn công. Chỉ đến giữa tháng 5, vụ việc này mới gây xôn xao trở lại. Theo The Block, Mirror tiếp tục bị hack vào ngày 31/5 và có thể cạn tiền chỉ trong vài giờ.
Mirror là giao thức cho phép người dùng sử dụng các tài sản số để đặt hợp đồng tương lai của cổ phiếu công nghệ. Khi muốn tạo ra tài sản mới, người dùng sẽ phải thế chấp tiền mã hóa trên Mirror, bao gồm UST, LUNA Classic (LUNC) và mAssets trong tối thiểu 14 ngày.
Sau khi quá trình này kết thúc, người dùng có thể mở khóa tài sản thế chấp để rút tiền về ví. Tất cả điều này được thực hiện với sự trợ giúp từ số ID do hợp đồng thông minh cung cấp. Tuy nhiên, do mã số gặp lỗi, hợp đồng khóa trên giao thức Mirror không thể truy xuất khi ai đó sử dụng nhiều lần cùng một ID để rút tiền.
Một cá nhân bị phát hiện dùng các ID trùng lặp để mở khóa các hợp đồng thông minh trên giao thức Mirror. Ảnh: CryptoSlate. |
Vào tháng 10/2021, một cá nhân không xác định nhận thấy rằng họ có thể sử dụng danh sách các ID trùng lặp để mở khóa liên tục hàng trăm lần tài sản thế chấp. Về cơ bản, điều này có nghĩa là thủ phạm có thể rút tiền mà không cần sự ủy quyền.
Theo dữ liệu trên Terra, cá nhân này đã rút được tổng cộng khoảng 90 triệu USD.
Việc khai thác lỗ hổng được phát hiện bởi nhà phân tích có tên “FatMan”, đồng thời là thành viên trong cộng đồng Terra. Người dùng này cũng nằm trong số những nhân vật phản đối mạnh mẽ nhất trong sự kiện ra mắt blockchain Terra 2.0.
Công ty bảo mật BlockSec cũng chứng thực những phát hiện của thành viên cộng đồng bằng cách phân tích giao dịch khai thác kể trên. BlockSec xác nhận rằng một vụ tấn công đã diễn ra.
Việc giao thức Mirror bị khai thác có thể là một trong những sự kiện hiếm hoi được tìm thấy trên dữ liệu chuỗi. Thông thường, các dự án sẽ nhanh chóng báo cáo những vấn đề liên quan đến bảo mật vì mục đích minh bạch thông tin.
Công ty bảo mật BlockSec cho biết việc khai thác lỗ hổng có thể không được chú ý do có ít người dùng quan tâm đến các vấn đề của Terra. Ngoài ra, theo The Block, trang web Mirror hiện chưa có công cụ giúp người dùng có thể kiểm tra tổng số tài sản thế chấp trong giao thức. Điều này khiến việc tìm ra lỗ hổng bảo mật khó hơn nhiều nếu không sàng lọc qua một lượng lớn dữ liệu trong chuỗi khối.
Đầu tháng này, các nhà phát triển của giao thức Mirror đã âm thầm sửa lỗ hổng bảo mật, trùng thời điểm stablecoin UST sụp đổ. Một tuần sau bản vá, các thành viên trong cộng đồng vẫn lo ngại rằng nhiều lỗ hổng bảo mật vẫn tồn tại trên giao thức này.
Hiện tại, nhóm phát triển Mirror Protocol chưa đưa ra bình luận cụ thể về vấn đề trên.