北京時間2022年5月30日21::46:19,,CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時,總損失約為200萬美元。
此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新,導致價格預言機不準確——報告了LUNA,而非實際的LUNC。
這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。
漏洞交易
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
Terra鏈上DeFi鎖倉量為134.1億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為134.1億美元,在公鏈中仍排名第2位。目前,鎖倉量排名前5的公鏈分別為以太坊(1123.8億美元)、Terra(134.1億美元)、BSC(112.6億美元)、Fantom(113.2億美元)、Avalanche(85.4億美元)。[2022/1/30 9:21:59]
參考:https://forum.mirror.finance/t/another-exploit/3511
攻擊步驟
該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。
某次交易示例如下:
Intergalactic Gaming已在Polygon主網上集成Chainlink VRF:12月11日消息,Intergalactic Gaming已經在Polygon主網上集成Chainlink可驗證隨機函數(VRF)。通過將Chainlink去中心化預言機解決方案集成到IGGalaxy平臺中,Intergalactic Gaming現在可以訪問可驗證的隨機性來源,以可證明的公平方式向用戶分發NFT。[2021/12/11 7:33:04]
由于Terra驗證節點沒有及時更新價格預言機,該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。
俄羅斯通信部已將Waves Enterprise添加到官方注冊表中:俄羅斯通信部近期發布的文件顯示,該部門已將區塊鏈平臺Waves Enterprise添加到俄羅斯計算機和數據庫軟件注冊表中。據悉,該表格旨在通過推薦在俄羅斯政府機構中使用的信息技術產品,以確保當局較高的信息安全標準。[2020/4/15]
漏洞分析
在Terra分叉之后,現在的Terra已分為:
①TerraClassic,LUNA價值0.0001美元。
②Terra2.0,其LUNA價格約為5美元。
Mirrorprotocol運行于舊的Terra鏈上,并使用TerraClassic提供的價格預言機服務來確定LUNA價格。
動態 | 閃電火炬已傳遞給SegWit發明者Pieter Wuille:據Bitcoinist消息,3月6日,SegWit發明者、密碼學家Pieter Wuille從比特幣采礦運營商SlushPool那里接過了閃電火炬,成為第231個傳遞火炬的人。[2019/3/7]
然而,一些驗證者在TerraClassic分叉后并沒有更新他們的軟件,并且報告的是分叉后的LUNA價格而非LUNC的價格。
例如在下方這筆交易中,TerraClassic的驗證節點報告的LUNC價格約為5美元,而不是0.0001美元。
在正常情況下,假如一個用戶想在Mirrorprotocol上進行貸款,他需要提供更多的抵押品以進行借貸,比如提供2萬美元的抵押來借貸1萬美元。
也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押,但如果是使用價值5美元的LUNA,則只需要提供4000枚。
然而,由于一些驗證器已經過時,導致預言機提供了LUNA的價格而非LUNC的價格,攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。
目前,如Orion.money的部分驗證者已修復該漏洞:
Orion.money昨日提供的LUNA價格
Orion.money今日提供的LUNC價格
資產去向
據FatManTerra證明,Mirrorprotocol的損失已達200萬美元。
因價格預言機導致的攻擊事件絕非一例,預言機不應成為鏈上「套利」專用工具。
加密領域安全風險層出不窮,項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查,并及時完善和審計合約代碼。
參考鏈接:
https://twitter.com/FatManTerra/status/1531365988809293825
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
https://forum.mirror.finance/t/another-exploit/3511
https://twitter.com/ChainLinkGod/status/1531384782046711808
https://twitter.com/blockpane/status/1531369644531101696
https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit
北京時間2022年7月17日,CertiK安全團隊監測到知名NFT平臺PremintNFT官網被入侵后于今日遭受黑客攻擊。導致了約37.5萬美元的損失.
1900/1/1 0:00:00Solana今日稍早正式宣告將推出以Web3為核心的Android手機「Saga」,將包含:Web3dapp商店、SolanaPay、seedvault…等功能,目前已開放預購.
1900/1/1 0:00:002022年5月7日,加密市場發生了有史以來的最大動蕩——Luna/Terra生態系統崩盤,其廣受采用的穩定幣TerraUSD失去錨定,引發死亡螺旋.
1900/1/1 0:00:00Aug.2022,ThiagoFreitasDataSource:ArtBlocksDashboardArtBlocks是一個NFT平臺,使其用戶能夠鑄造所謂的"生成藝術".
1900/1/1 0:00:00本周摘要 -CPI指數來到8.6%后,市場暴跌,經濟衰退要來了嗎?-Celsius和stETH的影響下ETH繼續下跌,它會成為下一個Terra和UST嗎? 一、上周行業動態 本周市場在周五跳水.
1900/1/1 0:00:00據官方消息,為保護整個區塊鏈行業和加密貨幣市場,波場聯合儲備正在購買價值5000萬美元的BTC和TRX作為儲備.
1900/1/1 0:00:00