В Terra обнаружили взлом на 90 млн долларов только через семь месяцев

В октябре 2021 года хакеры украли около 90 млн долларов США через приложение блокчейна Terra – Mirror Protocol. Сервис разработан для торговли акциями предприятий и компаний. Однако похищенных денег в блокчейне хватились только спустя 7 месяцев – в середине мая. Один из членов сообщества Terra, более известный под ником FatMan, обратил внимание на странную транзакцию. Примечательно, именно он выступал категорически против недавнего запуска нового блокчейн-проекта.

Позже выяснилось, чтобы вывести столь баснословную сумму на свои счета, хакеры воспользовались ошибкой в программе Mirror Protocol. Для осуществления сделок с акциями, в платформе приложения требуется разблокировка внесенного залога через идентификатор, генерируемый smart-контрактом. В коде приложения неизвестные пользователи нашли ошибку, по которой идентификатор проверяется со стороны Mirror Protocol только однократно, и дублирующего контроля, когда кто-то использует его второй раз, не предусмотрено.

В октябре прошлого года злоумышленники подметили, что могут пользоваться повторяющимися идентификаторами многократно. Соответственно, несколько десятков раз они имели возможность разблокировать залоговые средства для дальнейшего похищения. Чем они незамедлительно и воспользовались.

В компании BlockSec, занимающейся безопасностью блокчейн-проектов, подтвердили эту версию. Там отметили, что взлом очень долго оставался незамеченным, потому что немного пользователей сканирует Terra на наличие проблем, особенно если сравнивать с Ethereum-совместимыми цепочками. Помимо этого, в Mirror Protocol нет интерфейса, через который можно проверить в протоколе общую сумму залога. Это значительно усложняет оперативное обнаружение уязвимостей. 

Источник фото: cryptos.tv