Un miembro la comunidad de Terra descubrió el robo de $90 millones del protocolo Mirror. El robo se llevó a cabo en octubre del año pasado y pasó por desapercibido durante siete meses hasta que nuevamente los atacantes extrajeron $2 millones de un proyecto de finanzas descentralizadas (DeFi) aprovechando una vulnerabilidad en el protocolo y la Blockchain de Terra.
El protocolo Mirror es una iniciativa DeFi que utiliza la Blockchain de Terra. Esta permite a los usuarios intercambiar activos sintéticos tokenizados. Es decir, cada token que existe en la red, rastrea un activo sintético existente en la bolsa de Estados Unidos. Se usa para comerciar con acciones de compañías como Tesla o Microsoft. Puede emplearse igualmente para productos básicos como el trigo o el oro.
Mirror además permite a los usuarios usarlo entre cadenas, es decir, conectar ecosistemas como la red de Ethereum o de Polkadot. Si un usuario coloca una posición debe bloquear sus criptomonedas equivalentes a dicha posición por 14 días. Luego de los 14 días se pueden desbloquear generando un código especial.
Las vulnerabilidades del protocolo
Un usuario identificado como “Fatman» vía Twitter advirtió el daño de $90 millones que realizó una persona o un grupo de personas al vulnerar el sistema de desbloqueo mediante el código de verificación especial.
La vulnerabilidad le permitió a los delincuentes utilizar el mismo código de seguridad. Esto les permitió a los atacantes retirar una y otra vez utilizando el mismo código.
El código se empleó 437 veces antes de resolver la vulnerabilidad por parte del equipo de desarrollo de Mirror. El monto total retirado por los atacantes al protocolo supera incluso la cantidad de garantía bloqueada inicialmente por los atacantes.
Dicha denuncia fue comprobada posteriormente por la firma de seguridad BlockSec, también advirtieron que, en la página del protocolo no se mostró nunca datos sobre la cantidad de garantía pagada por los usuarios. Esta vulnerabilidad y la falta de supervisión en la Blockchain de Terra le permitió al robo pasar desapercibido durante 7 meses.
Otras vulnerabilidades en la Blockchain de Terra
El colapso de Terra y LUNA les permitió a los desarrolladores de Mirror descubrirla y corregirla. Así lo anunciaron en su página web, aunque no especificaron que ya había sido explotada. A pesar de la caída, el pasado domingo el protocolo Mirror sufrió otro ataque.
En el ataque se robaron $2 millones aprovechando una nueva vulnerabilidad descubierta por los atacantes. Dicho ataque, descubierto por un miembro de la comunidad de Mirror y confirmado posteriormente por FatMan.
El error radicó en que aparentemente Mirror utilizaba una versión obsoleta del oráculo de LUNA. Lo que causó que el protocolo valorara el token en $5 cuando realmente solo valía unos centavos de dólar. El resultado de este ataque fue el saqueo de los pools mBTC, mETH, mDOT y mGLXY. El oráculo se actualizó y se corrigió el error.
Esto deja en evidencia el creciente número de robos por manos de hackers que usan exploits de código y ataques a plataformas de finanzas descentralizadas. Hasta la fecha al menos $1230 millones que representan el 97% del dinero robado por piratas informáticos se extrajo de esa forma.
