Mirror Protocol, un protocolo DeFi basado en Terra, fue atacado por ciberdelincuentes que lograron robarse u$s90 millones. Sin embargo, el incidente no fue conocido hasta hace unos días.
Según el informe, el hackeo fue descubierto por un analista y miembro de la comunidad de Terra conocido como "FatMan", que se encargó de notificar el hallazgo en Twitter.
FatMan manifestó su descontento ante el relanzamiento de Terra y contó que un grupo anónimo aprovechó una vulnerabilidad en el protocolo para extraer el dinero.
"En una transacción, el atacante convirtió u$s$10.000 en u$s$4.300.000. De hecho, esto se hizo varias veces, generando un total de más de u$s30 millones. Todo esto pasó completamente desapercibido para TFL y el equipo y la comunidad de Mirror. Esta es la primera vez que se revela este ataque", contó en Twitter el analista.
Mirror Protocol, en la mira: ¿cómo ocurrió el hackeo?
El ataque se llevó a cabo gracias a una vulnerabilidad en Mirror Protocol que permitía usar una lista de identificaciones duplicadas para desbloquear más garantías de las disponibles para un usuario.
La falla permitió que el ciberdelincuente retire fondos del protocolo sin ninguna autorización.
Mirror Protocol era un protocolo que permitía a los usuarios tomar posiciones largas o cortas en acciones tecnológicas utilizando activos sintéticos.
Cada vez que alguien quería apostar contra una acción en Mirror, tenía que bloquear tokens como garantía, incluidos UST, Luna Classic (LUNC) y mAssets, durante un mínimo de 14 días.
Un ciberdelincuente aprovechó una grieta en el protocolo y consiguió robar unos u$s90 millones
¿Cómo se desbloqueaba la garantía?
Una vez concluida la operación, los usuarios podían desbloquear la garantía para devolver los fondos a la billetera. Este mecanismo funcionaba mediante números de identificación generados por contratos inteligentes.
Sin embargo, debido a un código defectuoso, el contrato de bloqueo de Mirror supuestamente no pudo verificar cuando alguien usó la misma identificación más de una vez para retirar fondos.
Todo esto permitió al ladrón sacar u$s $90 millones de la plataforma. La firma de seguridad BlockSec corroboró los hallazgos del hackeo.
La plataforma Mirror se construyó sobre Terra, que colapsó a principios de este mes después de que su principal moneda estable, UST, perdiera su paridad con el dólar estadounidense, arrastrando consigo a su token hermano LUNA. La cadena de bloques ahora fue relanzada como Terra 2.0, mientras que la cadena original existe bajo el nombre de Terra Classic.
7 meses y un renacimiento de Terra más tarde
Resulta extraño que el hecho se haya revelado luego de tanto tiempo, especialmente por la notoriedad pública de los registros de la cadena de bloques, además de que, por lo general, los proyectos buscan notificar rápidamente los eventos de seguridad en aras de la transparencia.
Adicionalmente, el informe revela que los desarrolladores de Mirror Protocol supieron en algún punto de la vulnerabilidad que se aprovechó por el hacker en octubre, ya que hace unas semanas corrigieron esta falla. La implementación del parche coincidió con el momento en que UST comenzaba a desvincularse, lo que luego implosionó el ecosistema de Terra.
Por el momento el equipo de Mirror no comentó sobre el ataque, y se desconoce si el protocolo tiene conocimiento sobre el robo en cuestión.
Esta no es la primera vez que ocurre un ataque de este tipo. Hace unos meses, la cadena lateral Ronin Network, del popular juego Axie Inifinity, sufrió un hackeo con el que perdió más de u$s600 millones; pero el incidente solo se supo una semana después, cuando los usuarios intentaron sin éxito retirar sus fondos, según informó el sitio Diariobitcoin.com.