The Mirror Protocol werd op 8 oktober 2021 voor 90 miljoen dollar (zo’n 85 miljoen euro) gehackt en begin mei, ruim zeven maanden na dato, kwam de miljoenendiefstal pas aan het licht. Twittergebruiker FatManTerra zegt dat hij puur bij toeval achter de hack is gekomen.
Meer als een mandje
De hackers wisten miljoenen uit het Mirror Protocol te halen door een fout in het smart contract. Deze fout maakt het mogelijk om “keer op keer, zonder risico” geld uit het contract te halen. Het contract fungeerde als een kluis voor digitaal onderpand in het Mirror Protocol. Deze digitale kluis blijkt nu al maanden zo lek als een zeef te zijn, met alle gevolgen van dien.
https://twitter.com/FatManTerra/status/1529978941062139906?s=20&t=y1M06bPF1XFqwekMyB5hBA
Contracten op Terra-protocol
De contracten van het Mirror Protocol in kwestie liepen op de Terra blockchain. Een naam die je de afgelopen weken ongetwijfeld voorbij hebt zien komen vanwege het enorme drama dat zich daar heeft afgespeeld. Nadat Terra’s UST-stablecoin zijn koppeling met de US-dollar verloor, ging ook het LUNA-token ten onder en gingen miljarden aan assets op in digitale rook.
De activa van het Mirror Protocol waren overigens niet alleen beschikbaar via de Terra blockchain. Ze kunnen ook worden verhandeld op Ethereum en de Binance Smart Chain. Een blik op de Terra blockchain laat zien dat de aanvaller er inderdaad in geslaagd is om met dezelfde transactie beveiligde UST-gelden uit het protocol te halen. Al met al legde hij of zij 17,54 dollar (16,66 euro) neer om alle fondsen uit de kluizen te krijgen.
Wat is het Mirror Protocol?
Afgezien van het feit dat de smart contracts van Mirror Protocol blijkbaar niet helemaal goed waren, zijn er interessante dingen mogelijk op het platform. Mirror Protocol is een gedecentraliseerde applicatie die het mogelijk maakt om digitale synthetische activa te creëren. Dat klinkt heel spannend, maar een synthetisch actief is niets meer dan een token dat de prijs van financiële producten uit de “echte wereld” vertegenwoordigt. Het is bijvoorbeeld mogelijk om aandelen in Tesla en Google te creëren met alleen cryptocurrencies als onderliggende activa.
De bugs die door de Mirror-gemeenschap zijn ontdekt, zijn sindsdien stilletjes opgelost door de ontwikkelaars van het protocol. Het team heeft geen commentaar gegeven op de situatie, die begrijpelijkerwijs kritiek uit de gemeenschap oproept. FatManTerra denkt dat er geen reden is om te vermoeden dat de hacker iemand van de organisatie zelf was.
Niet de enige
Mirror Protocol is niet de eerste partij die ontdekt dat fondsen pas enige tijd na een hack zijn verdwenen. In het verleden had het Ronin-team zes dagen nodig om te beseffen dat ze 600 miljoen dollar (570 miljoen euro) waren kwijtgeraakt. Maar er is nog altijd een aanzienlijk verschil tussen zes dagen en zeven maanden. In dit opzicht heeft de DeFi-wereld duidelijk nog een weg af te leggen. In een volwassen industrie is er immers geen plaats voor dit soort waanzin. Zeker niet als we willen dat de hele wereld dit soort protocollen gaat gebruiken.