Un protocolo DeFi de Terra fue hackeado en octubre por USD $90 millones, pero nunca se notificó

Mirror Protocol sufrió un ataque de piratería hace 7 meses atrás, pero nadie se enteró hasta ahora. El equipo de Mirror no ha notificado el incidente.

***

• Una vulnerabilidad en Mirror Protocol permitió a un actor malicioso extraer USD $90 millones.
• Un usuario de Terra informó sobre el hackeo la semana pasada.
• La falla se corrigió silenciosamente justo cuando UST perdía su paridad.

Hace siete meses, un protocolo de finanzas descentralizadas basado en la ahora antigua cadena de bloques Terra, Terra Classic, fue pirateado por varios millones de dólares. Sin embargo, el incidente había pasado por desapercibido hasta hace unos días.

Mirror Protocol, un protocolo DeFi basado en Terra, fue hackeado en octubre de 2021 por USD $90 millones, según reportó The Block. El ataque informático no fue reportado entonces por los encargados de la plataforma. Tampoco nadie del ecosistema de la antigua cadena de bloques notificó lo sucedido hasta la semana pasada.

Según el informe, el hackeo fue descubierto por un analista y miembro de la comunidad de Terra conocido bajo el nombre “FatMan“, quien notificó el hallazgo en Twitter el jueves. FatMan, quien ha manifestado con insistencia su descontento ante el relanzamiento de Terra, dijo en un tweet que una entidad misteriosa habría aprovechado una vulnerabilidad en el protocolo para extraer el dinero.

En una transacción, el atacante convirtió [USD] $10.000 en [USD] $4.300.000. De hecho, esto se hizo varias veces, generando un total de más de 30 millones de dólares. Todo esto pasó completamente desapercibido para TFL y el equipo y la comunidad de Mirror. Esta es la primera vez que se revela este ataque.

Two coffees later, as I was about to give up, I found this. Hold on… What's going on here? A single transaction from October 2021 unlocking one position over and over again – and it actually executed. Here's the transaction: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV

— FatMan (@FatManTerra) May 27, 2022

¿Cómo ocurrió el hackeo?

De acuerdo con los hallazgos, el ataque se llevó a cabo gracias a una vulnerabilidad en Mirror Protocol que permitía usar una lista de identificaciones duplicadas para desbloquear más garantías de las disponibles para un usuario. La falla se tradujo en que el perpetrador pudo retirar fondos del protocolo sin ninguna autorización.

Mirror Protocol, era un protocolo que permitía a los usuarios tomar posiciones largas o cortas en acciones tecnológicas utilizando activos sintéticos, como explica The Block.

Cada vez que alguien quería apostar contra una acción en Mirror, tenía que bloquear tokens como garantía, incluidos UST, Luna Classic (LUNC) y mAssets, durante un mínimo de 14 días. Una vez concluida la operación, los usuarios podían desbloquear la garantía para devolver los fondos a la billetera. Este mecanismo funcionaba mediante números de identificación generados por contratos inteligentes. 

Sin embargo, debido a un código defectuoso, el contrato de bloqueo de Mirror supuestamente no pudo verificar cuando alguien usó la misma identificación más de una vez para retirar fondos. Todo esto permitió al pirata informático drenar USD $90 millones de la plataforma, como recoge The Block. La firma de seguridad BlockSec corroboró los hallazgos del hackeo.

As pointed by @FatManTerra and many others, the tranaction is on the 'classic'(https://t.co/9nmweKv1hC). Thanks for correcting this, and the attack is the new link. https://t.co/oehodgHVPw

— BlockSec (@BlockSecTeam) May 29, 2022

La plataforma Mirror se construyó sobre Terra, que colapsó a principios de este mes después de que su principal moneda estable, UST, perdiera su paridad con el dólar estadounidense, arrastrando consigo a su token hermano LUNA. La cadena de bloques ahora ha sido relanzada como Terra 2.0, mientras que la cadena original sigue existiendo bajo el nombre de Terra Classic.

7 meses y un renacimiento de Terra más tarde

Tal como apunta The Block, el incidente resulta extraño por el amplio lapso de tiempo que ha pasado entre que ocurrió el hackeo y la revelación de estos hechos. Es curioso especialmente por la notoriedad pública de los registros de la cadena de bloques; además de que, por lo general, los proyectos buscan notificar rápidamente los eventos de seguridad en aras de la transparencia.

Adicionalmente, el informe revela que los desarrolladores de Mirror Protocol supieron en algún punto de la vulnerabilidad que se aprovechó por el hacker en octubre, ya que hace unas semanas corrigieron esta falla. La implementación del parche coincidió con el momento en que UST comenzaba a desvincularse, como señala The Block, lo que luego implosionó el ecosistema de Terra.

Para el momento de edición, el equipo de Mirror no se ha pronunciado sobre estos informes ni ha hecho un anuncio oficial sobre el ataque, y se desconoce si el protocolo tiene conocimiento sobre el robo en cuestión.

Si bien el lapso de tiempo para el conocimiento público de un ataque de piratería en Blockchain es curioso e inusual, no es la primera vez que ocurre. Hace unos meses, otro hackeo mucho mayor pasó desapercibido. En marzo, la cadena lateral Ronin Network, del popular juego Axie Inifinity, fue explotada por más de USD $600 millones; pero el incidente solo se supo una semana después, cuando los usuarios intentaron sin éxito retirar sus fondos.

Lecturas recomendadas

• Do Kwon anuncia lanzamiento de Terra 2.0 en mainnet
• Corea del Sur evaluará responsabilidad de los exchanges en colapso de Terra
• Antes de UST, Do Kwon creó otro proyecto de stablecoin que también fracasó: reporte

Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.