北京时间2022年5月30日21::46:19,,CertiK审计团队监测到一起针对MirrorProtocol的攻击。截至撰稿时,总损失约为200万美元。
此次攻击的主要原因在于Terra验证节点在分叉后没有更新,导致价格预言机不准确——报告了LUNA,而非实际的LUNC。
这使得用户通过抵押LUNC借贷到的资产远大于提供抵押的金额。
漏洞交易
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
美图发布2023年中期业绩报告:持有的加密货币账面减值回升1.86亿元:金色财经报道,近日,美图公司发布2023年中期业绩报告。数据显示,今年上半年,美图公司的收入达到12.61亿元,同比增长 29.83%;股东应占净利润达到 2.28 亿元,较上年同期扭亏为盈,且超过此前预告的2.2 亿元 -2.65亿元。
公开资料显示,美图在2021年间累计购买了 31000 单位的以太币(ETH)及约940.89单位的比特币 ( BTC ) ,总价1亿美元,合计人民币约6.7亿元。而美团持有的加密货币在去年的熊市中,浮亏严重。但自今年起,随着加密货币价格反弹,美图账面减值回升1.86亿元,成为业绩表现改善的最大\"功臣\"。[2023/9/2 13:13:01]
参考:https://forum.mirror.finance/t/another-exploit/3511
知情人士:BitBoy Crypto创始人已离开该公司:金色财经报道,BitBoy Crypto背后影响力人物Ben Armstrong已离开该公司。根据比特币作者“Jason A. Williams 在 X 上分享的截图,Armstrong退出 Hit Network/BJ Investment Holdings 及其所有子公司品牌,包括 BitBoy Crypto 和 About The Blockchain”,立即生效。
Armstrong本人证实了他的个人 X 账户 joinBENCoin 的意外发展。该声明承认公司内部存在冲突,但表明尽管他离职,但仍对保留控制权充满信心。Armstrong因通过附属链接向普通投资者推销风险投资交易而面临大量批评,并声称他在向观众推销代币后出售了代币。[2023/8/28 13:01:15]
攻击步骤
Sui Network总交易数突破5亿:7月24日消息,Sui Network发文称,实现了一个新的里程碑,其总交易数突破5亿,达到517836919。[2023/7/24 15:53:54]
该次攻击中有多笔用户存入LUNC并借贷其他资产的交易。
某次交易示例如下:
由于Terra验证节点没有及时更新价格预言机,该笔交易允许攻击者抵押10万枚LUNC贷款30,275枚DOT。
漏洞分析
在Terra分叉之后,现在的Terra已分为:
O3 Swap V2上线KCC:9月14日消息,跨链聚合协议O3 Swap V2——O3 Interchange正式上线KuCoin Community Chain(KCC),支持KCC上的主流资产与其他网络的一键式自由兑换。[2022/9/14 13:28:42]
①TerraClassic,LUNA价值0.0001美元。
②Terra2.0,其LUNA价格约为5美元。
Mirrorprotocol运行于旧的Terra链上,并使用TerraClassic提供的价格预言机服务来确定LUNA价格。
然而,一些验证者在TerraClassic分叉后并没有更新他们的软件,并且报告的是分叉后的LUNA价格而非LUNC的价格。
例如在下方这笔交易中,TerraClassic的验证节点报告的LUNC价格约为5美元,而不是0.0001美元。
在正常情况下,假如一个用户想在Mirrorprotocol上进行贷款,他需要提供更多的抵押品以进行借贷,比如提供2万美元的抵押来借贷1万美元。
也就是需要提供整整2亿枚价值0.0001美元的LUNC代币来进行抵押,但如果是使用价值5美元的LUNA,则只需要提供4000枚。
然而,由于一些验证器已经过时,导致预言机提供了LUNA的价格而非LUNC的价格,攻击者仅需提供4000枚LUNC即可借贷到1万美元。
目前,如Orion.money的部分验证者已修复该漏洞:
Orion.money昨日提供的LUNA价格
Orion.money今日提供的LUNC价格
资产去向
据FatManTerra证明,Mirrorprotocol的损失已达200万美元。
因价格预言机导致的攻击事件绝非一例,预言机不应成为链上「套利」专用工具。
加密领域安全风险层出不穷,项目团队应尽可能提高相关警惕并时刻关注安全事件以自查,并及时完善和审计合约代码。
参考链接:
https://twitter.com/FatManTerra/status/1531365988809293825
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
https://forum.mirror.finance/t/another-exploit/3511
https://twitter.com/ChainLinkGod/status/1531384782046711808
https://twitter.com/blockpane/status/1531369644531101696
https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。