MirrorProtocol建立在Terra區(qū)塊鏈之上，但在TerraUSD（UST）穩(wěn)定幣失去與美元的錨定之后，其姊妹代幣Luna在本月早些時(shí)候也被拖累到幾乎一文不值。經(jīng)過(guò)混亂的幾周后，社區(qū)投票通過(guò)了硬分叉的Terra2.0以消弭影響，而原始鏈則改名為T(mén)erraClassic。

本文提到的漏洞是由Terra社區(qū)成員兼分析師“FatMan”曝光。他是最新推出的Terra2.0區(qū)塊鏈最直言不諱的反對(duì)者之一。同時(shí)，安全公司BlockSec通過(guò)分析特定的漏洞利用交易證實(shí)了FatMan的發(fā)現(xiàn)。

Mirror允許用戶(hù)在Mirror上做空時(shí)，必須將包括UST、LUNAClassic（LUNC）和mAssets在內(nèi)的抵押品鎖定至少14天。交易結(jié)束后，用戶(hù)可以解鎖抵押品，并將資產(chǎn)釋放回錢(qián)包，所有相關(guān)操作都是在智能合約生成的ID號(hào)的幫助下完成的。然而，由于代碼上的Bug，Mirror的鎖定合約未能檢查何時(shí)有人多次使用同一個(gè)ID來(lái)提取資金。

于是，在2021年10月，一不知名的實(shí)體發(fā)現(xiàn)了這一漏洞，并借此利用重復(fù)ID列表來(lái)反復(fù)解鎖數(shù)以百倍的抵押品，這意味著肇事者能夠在沒(méi)有任何授權(quán)的情況下提取資金。區(qū)塊鏈記錄顯示，該實(shí)體總共竊取了約9000萬(wàn)美元的資金。然而更讓人感到無(wú)語(yǔ)的是，這一漏洞直到七個(gè)月后才被人曝光。

通常情況下，為透明起見(jiàn)，項(xiàng)目方會(huì)盡快向公眾通報(bào)安全事件，即便類(lèi)似MirrorProtocol漏洞的事件相當(dāng)罕見(jiàn)。BlockSec指出，與ETH和兼容區(qū)塊鏈相比，Terra上掃描相關(guān)問(wèn)題的人較少，因此該漏洞遲遲未被公眾所知。此外，在Mirror網(wǎng)站上，沒(méi)有界面可以查看協(xié)議中抵押品總量，這使得在不篩選大量區(qū)塊鏈數(shù)據(jù)的情況下更難發(fā)現(xiàn)相關(guān)漏洞。

本月早些時(shí)候，在UST穩(wěn)定幣開(kāi)始崩潰的同時(shí)，Mirror開(kāi)發(fā)人員悄悄修復(fù)了該漏洞。補(bǔ)丁發(fā)布一周后，社區(qū)成員開(kāi)始懷疑是否存在漏洞。然而，這并不是黑客首次盯上加密貨幣的區(qū)塊鏈協(xié)議。比如，在2022年3月，黑客從Ronin側(cè)鏈竊走6億美元之后一周，無(wú)法提取資金的人們才意識(shí)到有糟糕的事情發(fā)生。

最后，被美國(guó)證券交易委員會(huì)（SEC）調(diào)查的MirrorProtocol尚未就此事發(fā)表官方評(píng)論。TheBlock向Mirror/TerraformLabs團(tuán)隊(duì)發(fā)去了置評(píng)請(qǐng)求，但截至發(fā)稿時(shí)，它們都未回應(yīng)。

熱點(diǎn)：BLURR 比特幣漏洞 虛擬幣漏洞 BTE tena幣