上周，一名 Terra 社區成員意外發現了某個被疏忽七個月的 DeFi 漏洞，并且得到了 BlockSEC 安全分析師的證實。2021 年 10 月，DeFi 應用程序 Mirror Protocol 在舊 Terra 區塊鍊上遭受了 9000 萬美元的攻擊損失，但社區直到上周才意識到它的存在。據悉，Mirror Protocol 允許用戶使用合成資産，對科技股進行做多或做空。

Mirror Protocol 建立在 Terra 區塊鍊之上，然而在 TerraUSD（UST）穩定币失去與美元的錨定之後，其姊妹代币 Luna 在本月早些時候也被拖累到幾乎一文不值。

在經曆了混亂的幾周後，社區投票通過了硬分叉的 Terra 2.0 以消弭影響，而原始鍊則倍改名為 Terra Classic 。

本文提到的漏洞，由 Terra 社區成員兼分析師“FatMan”曝光。這對最新推出的 Terra 2.0 區塊鍊，他也是最直言不諱的反對者之一。

同時安全公司 BlockSec 通過分析特定的漏洞利用交易，證實了 FatMan 的這一發現。

可知每當有人想要在 Mirror 上做空時，其必須将包括UST、LUNA Classic（LUNC）和 mAssets 在内的抵押品鎖定至少 14 天。

交易結束後，用戶可解鎖抵押品、并将資産釋放回錢包，且所有相關操作都是在智能合約生成的 ID 号的幫助下完成的。

然而由于代碼上的 Bug，報道稱 Mirror 的鎖定合約、未能檢查何時有人多次使用同一個 ID 來提取資金。

于是 2021 年 10 月，某個不知名的實體發現了這一漏洞，并借此利用重複 ID 列表來反複解鎖數以百倍的抵押品 —— 基本上意味着肇事者能夠在沒有任何授權的情況下提取資金。

後續的區塊鍊記錄表明，該實體總共撬走了約 9000 萬美元的資金。然而更讓人感到無語的是，這一漏洞直到七個月後才被人曝光。

通常情況下，為透明起見，項目放都會盡快向公衆通報安全事件 —— 即便類似 Mirror Protocol 漏洞的事件相當罕見。

BlockSec 指出：與 ETH 和兼容區塊鍊相比，在 Terra 上掃描相關問題的人較少，因而該漏洞才遲遲未被公衆所知曉。

此外 Mirror 網站上沒有可以查看協議中抵押品總量的界面，這使得在不篩選大量區塊鍊數據的情況下，更難發現相關漏洞。

本月早些時候，大約在 UST 穩定币開始崩潰的同時，Mirror 開發人員悄悄修複了該漏洞 —— 補丁發布一周後，社區成員開始懷疑是否存在漏洞。

當然，這并不是黑客首次盯上加密貨币的區塊鍊協議。比如 2022 年 3 月，在黑客從 Ronin 側鍊竊走 6 億美元之後一周，無法提取資金的人們才意識到有糟糕的事情發生。

最後，被美國證券交易委員會（SEC）調查的 Mirror Protocol 尚未就此事發表官方評論。

The Block 向 Mirror / Terraform Labs 團隊發去了置評請求，但截止發稿時，它們都未予置評。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!