MirrorProtocol è stato violato l’8 ottobre 2021 per 90 milioni di dollari (circa 85 milioni di euro) e all’inizio di maggio, più di sette mesi dopo l’evento, la rapina milionaria è venuta alla luce solo dopo sette mesi. L’utente di Twitter FatManTerra dice di aver scoperto l’hack per puro caso.
Un lago come un cestino
Gli hacker sono riusciti a estrarre milioni dal Mirror Protocol a causa di un errore nello smart contract. Questo errore rende possibile l’estrazione di denaro dal contratto “ancora e ancora, senza rischi”. Il contratto fungeva da cassaforte per le garanzie digitali del “Mirror Protocol”. Questo caveau digitale si è rivelato per mesi un colabrodo, con tutte le conseguenze del caso.
🧵👇 What if I told you that Mirror Protocol, up until 18 days ago, was susceptible to the one of the most profitable exploits of all time, allowing an attacker to generate $4.3m from $10k in a single transaction? Here's how I discovered this – by pure serendipity. 🧵👇
— FatMan (@FatManTerra) May 27, 2022
Contratti su protocollo Terra
I contratti del Protocollo Mirror in questione funzionavano sulla blockchain Terra. Un nome che sicuramente avrete visto passare nelle ultime settimane a causa dell’enorme dramma che vi si è consumato. Dopo che la UST-stablecoin di Terra ha perso il suo legame con il dollaro USA, anche il token LUNA è crollato e miliardi di asset sono andati in fumo.
Gli asset del Protocollo Mirror sono stati resi disponibili solo tramite la blockchain di Terra. Possono essere scambiati anche su Ethereum e sulla Smart Chain di Binance. Un’occhiata alla blockchain di Terra mostra che l’aggressore è effettivamente riuscito a ritirare i fondi UST garantiti dal protocollo con la stessa transazione. In totale, ha investito 17,54 dollari (16,66 euro) per prelevare tutti i fondi dai caveau.
Che cos’è il protocollo Mirror?
A parte il fatto che, a quanto pare, i contratti intelligenti del Mirror Protocol non erano del tutto corretti, ci sono cose interessanti possibili sulla piattaforma. Mirror Protocol è un’applicazione decentralizzata che consente di creare beni digitali sintetici. Sembra molto eccitante, ma un asset sintetico non è altro che un token che rappresenta il prezzo di prodotti finanziari del “mondo reale”. Ad esempio, è possibile creare azioni di Tesla e Google utilizzando solo criptovalute come attività sottostanti.
I bug scoperti dalla comunità di Mirror sono stati poi tranquillamente risolti dagli sviluppatori del protocollo. Il team non ha commentato la situazione, che sta comprensibilmente attirando le critiche della comunità. FatManTerra ritiene che non ci sia motivo di sospettare che l’hacker sia qualcuno dell’organizzazione stessa.
Non è l’unico
Mirror Protocol non è il primo partito a scoprire che i fondi sono scomparsi solo qualche tempo dopo un hack. In passato, il team Ronin ha impiegato sei giorni per rendersi conto di aver perso 600 milioni di dollari (570 milioni di euro). Ma c’è ancora una notevole differenza tra sei giorni e sette mesi. Da questo punto di vista, il mondo della DeFi ha ancora molta strada da fare. In un’industria matura, dopo tutto, non c’è posto per questo tipo di follia. Certamente non se vogliamo che tutto il mondo utilizzi questo tipo di protocolli.