?上周，一名 Terra 社區(qū)成員意外發(fā)現(xiàn)了某個被疏忽七個月的 DeFi 漏洞，并且得到了 BlockSec 安全分析師的證實。2021 年 10 月，DeFi 應(yīng)用程序 Mirror Protocol 在舊 Terra 區(qū)塊鏈上遭受了 9000 萬美元的攻擊損失，但社區(qū)直到上周才意識到它的存在。據(jù)悉，Mirror Protocol 允許用戶使用合成資產(chǎn)，對科技股進(jìn)行做多或做空。

Mirror Protocol 建立在 Terra 區(qū)塊鏈之上，然而在 TerraUSD（UST）穩(wěn)定幣失去與美元的錨定之后，其姊妹代幣 Luna 在本月早些時候也被拖累到幾乎一文不值。

在經(jīng)歷了混亂的幾周后，社區(qū)投票通過了硬分叉的 Terra 2.0 以消弭影響，而原始鏈則倍改名為 Terra Classic 。

本文提到的漏洞，由 Terra 社區(qū)成員兼分析師“FatMan”曝光。這對最新推出的 Terra 2.0 區(qū)塊鏈，他也是最直言不諱的反對者之一。

同時安全公司 BlockSec 通過分析特定的漏洞利用交易，證實了 FatMan 的這一發(fā)現(xiàn)。

可知每當(dāng)有人想要在 Mirror 上做空時，其必須將包括UST、LUNA Classic（LUNC）和 mAssets 在內(nèi)的抵押品鎖定至少 14 天。

交易結(jié)束后，用戶可解鎖抵押品、并將資產(chǎn)釋放回錢包，且所有相關(guān)操作都是在智能合約生成的 ID 號的幫助下完成的。

然而由于代碼上的 Bug，報道稱 Mirror 的鎖定合約、未能檢查何時有人多次使用同一個 ID 來提取資金。

于是 2021 年 10 月，某個不知名的實體發(fā)現(xiàn)了這一漏洞，并借此利用重復(fù) ID 列表來反復(fù)解鎖數(shù)以百倍的抵押品 —— 基本上意味著肇事者能夠在沒有任何授權(quán)的情況下提取資金。

后續(xù)的區(qū)塊鏈記錄表明，該實體總共撬走了約 9000 萬美元的資金。然而更讓人感到無語的是，這一漏洞直到七個月后才被人曝光。

通常情況下，為透明起見，項目放都會盡快向公眾通報安全事件 —— 即便類似 Mirror Protocol 漏洞的事件相當(dāng)罕見。

BlockSec 指出：與 ETH 和兼容區(qū)塊鏈相比，在 Terra 上掃描相關(guān)問題的人較少，因而該漏洞才遲遲未被公眾所知曉。

此外 Mirror 網(wǎng)站上沒有可以查看協(xié)議中抵押品總量的界面，這使得在不篩選大量區(qū)塊鏈數(shù)據(jù)的情況下，更難發(fā)現(xiàn)相關(guān)漏洞。

本月早些時候，大約在 UST 穩(wěn)定幣開始崩潰的同時，Mirror 開發(fā)人員悄悄修復(fù)了該漏洞 —— 補(bǔ)丁發(fā)布一周后，社區(qū)成員開始懷疑是否存在漏洞。

當(dāng)然，這并不是黑客首次盯上加密貨幣的區(qū)塊鏈協(xié)議。比如 2022 年 3 月，在黑客從 Ronin 側(cè)鏈竊走 6 億美元之后一周，無法提取資金的人們才意識到有糟糕的事情發(fā)生。

最后，被美國證券交易委員會（SEC）調(diào)查的 Mirror Protocol 尚未就此事發(fā)表官方評論。

The Block 向 Mirror / Terraform Labs 團(tuán)隊發(fā)去了置評請求，但截止發(fā)稿時，它們都未予置評。