-
Los desarrolladores solucionaron una vulnerabilidad, pero no informaron la extracción de fondos.
-
En un nuevo exploit fueron retirados otros USD 2 millones el pasado domingo.
Un miembro de la comunidad de Terra advirtió que una persona desconocida, o un grupo de ellas, retiró USD 90 millones del protocolo Mirror en octubre del año pasado y la situación pasó desapercibida durante siete meses. Ahora, los atacantes volvieron a extraer fondos del proyecto de finanzas descentralizadas (DeFi), aprovechando otra vulnerabilidad para extraer USD 2 millones.
Mirror es un protocolo descentralizado basado en la blockchain de Terra, que permite a los usuarios intercambiar activos sintéticos tokenizados. Cada token que existe en su plataforma rastrea un activo que fluctúa en la bolsa de valores de Estados Unidos, como por ejemplo acciones de Netflix o Tesla, o también pueden ser productos básicos, como el trigo o el oro.
De tal manera, que Mirror se puede utilizar para varias operaciones entre cadenas y múltiples cadenas, conectando ecosistemas como Cosmos, Ethereum y Polkadot.
Al colocar una posición, un usuario debe bloquear su garantía en criptomonedas durante 14 días. Después de este período, sus fondos se pueden desbloquear generando un código de identificación especial.
En ese sentido, la vulnerabilidad que presentaba el protocolo era que el contrato inteligente no verificaba que el código de identificación ya se había utilizado, permitiendo que se usara una y otra vez. Y eso fue precisamente lo que aprovecharon los hacckers quienes pudieron desbloquear y retirar fondos, una y otra vez, reutilizando el mismo código.
La advertencia la hizo hace unos días un usuario de Twitter identificado bajo el seudónimo de «FatMan» y posteriormente confirmado por especialistas de la firma de ciberseguridad BlockSec.
Según la denuncia de FatMan, una persona desconocida causó daños al protocolo por más de USD 90 millones, superando por unos cuantos miles la cantidad de la garantía inicialmente bloqueada por él mismo.
BlockSec explicó que el exploit de la vulnerabilidad no se supo hasta ahora, ya que el sitio web de Mirror no mostraba datos sobre la cantidad de garantía pagada por los usuarios.
También queda en evidencia que la comunidad no estuvo atenta al análisis de datos en la cadena de bloques Terra, lo cual permitió que el saqueo de fondos y la vulnerabilidad del protocolo Mirror pasaran desapercibidos durante 7 meses.
Más vulnerabilidades explotadas en el proyecto DeFi de Terra
No fue hasta el colapso de Terra USD y LUNA que los desarrolladores de Mirror anunciaron que habían atendido la vulnerabilidad, aunque no informaron que ya había sido explotada. Sin embargo, producto de un nuevo ataque, otros USD 2 millones fueron extraídos del protocolo el domingo pasado cuando un hacker descubrió una nueva vulnerabilidad.
Esta vez el saqueo fue descubierto por un miembro de la comunidad de Mirror y confirmada por FatMan en el preciso momento en el que ocurría.
Según lo explicado por un miembro de la comunidad ChainLink lo que ocurrió fue que Mirror aparentemente usó una versión obsoleta del oráculo de LUNA. Como resultado, el protocolo valoró el token LUNC en aproximadamente USD 5, cuando en realidad solo valía unos pocos centavos de dólar.
«Por USD 1.000 en LUNC, un atacante ahora puede cargar USD 1.300 millones en garantía», escribió FatMan. «Aparentemente, la causa fue que los validadores de terra classic estaban trabajando con una versión obsoleta del software del oráculo de LUNA», explicó ChainLinkGod.eth en Twitter.
Como resultado, los pools mBTC, mETH, mDOT y mGLXY fueron saqueados. Posteriormente el error fue corregido y la versión de Oracle se ha actualizado evitando que el atacante siguiera vaciando los pools de liquidez.
¿Un protocolo espejo de Terra USD?
Mirror Protocol fue fundada en 2020 por el mismo equipo que desarrolló Terraform Labs y no ha escapado de las controversias.
En septiembre de 2021, el CEO de Terraform Labs, Do Kwon, recibió documentos que ordenaban el cumplimiento de citaciones de investigación basadas en la investigación de la Comisión de Bolsa y Valores de los Estados Unidos (SEC).
En represalia, Kwon demandó a la Comisión de Bolsa y Valores de los Estados Unidos en diciembre de 2021. En ese momento declaró que la SEC había violado sus propias reglas y la Cláusula de Debido Proceso de la Constitución de los Estados Unidos. Posteriormente, en febrero de 2022, un juez del Tribunal de Distrito de los Estados Unidos ordenó a Kwon que cumpliera con las citaciones.
En todo caso, como lo informó CriptoNoticias anteriormente, los hackers están haciendo fiesta con el robo de criptomonedas en los protocolos DeFi.
Las cifras así lo demuestran, ya que el 97% de los USD 1230 millones que quedaron en manos de piratas informáticos durante el primer trimestre del año, fueron producto de exploits de código y ataques a plataformas financieras descentralizadas.