Terra (LUNA) ontkomt niet aan de negatieve krantenkoppen. Nu pas is gebleken dat het DeFi-protocol Mirror daar verkeerd was geprogrammeerd, waardoor aanvallers 90 miljoen US-dollars konden buitmaken.
Het vertrouwen in de groeisector Decentralised Finances (DeFi) is opnieuw geschokt door een ernstige programmeerfout. Deze keer gaat het om het Mirror-protocol, dat onder Terra (LUNA) een soort derivatenhandel op tech-aandelen mogelijk maakte. Maar in oktober 2021 kreeg Mirror te maken met een niet-legitieme uitstroom van het equivalent van 90 miljoen US dollar, zoals analist FatMan uitlegt op Twitter. Zijn onderzoek is sindsdien bevestigd door het crypto-beveiligingsbedrijf BlocSec via Twitter. Mirror zelf gaf geen commentaar op het incident, evenmin als Terra Labs.
Om posities bij Mirror op te bouwen, moest onderpand worden gestort in LUNA of de daaraan gekoppelde stablecoin UST. Bij DeFi worden dergelijke structuren uiteraard georganiseerd via slimme contracten. In het contract voor Mirror was bepaald dat gedeponeerde garanties pas weer in de portefeuille konden worden gestort nadat de posities waren geliquideerd. Zo ver, zo goed – maar hier kwam het tot een gedenkwaardige vergissing. Omdat voor elke opnametransactie bij Mirror, ook een ID werd toegewezen door het slimme contract. FatMan bewijst dat deze ID’s niet slechts één keer bij Mirror konden worden gebruikt, zoals werd gedacht, maar zo vaak als gewenst. De aanvaller(s) waren dus in staat om hun kapitaal in korte tijd te vermenigvuldigen, zoals ook blijkt uit de blockchaingegevens.
Mirror heeft de bug blijkbaar medio mei verholpen, maar heeft dit niet publiekelijk meegedeeld. Tegen de tijd dat Mirror actie ondernam, was de vrije val van Terra en UST echter al begonnen. Volgens de tot dusverre beschikbare informatie kan de hack van 90 miljoen bij Mirror dan ook niet rechtstreeks in verband worden gebracht met de Terra-crash. BlocSec gelooft dat de fout slechts zo lang onontdekt kon blijven omdat de ogen van analisten minder gericht waren op Terra dan op de DeFi marktleiders Ethereum (ETH) en Binance Smart Chain.
Conclusie: Fatale voorbeelden van DeFi kwetsbaarheden
In maart hadden hackers misbruik gemaakt van een kwetsbaarheid in Axie Infinity’s (AXS) sidechain Ronin en $600 miljoen buitgemaakt. Hier worden de slachtoffers gecompenseerd – maar het verlies van vertrouwen blijft. Nu met Mirror, zijn de verantwoordelijken ondergedoken en compensatie is onwaarschijnlijk. Als u in het DeFi belegt, moeten de recente voorbeelden u eraan herinneren dat een kleine fout in de technologische organisatie van de protocollen tot enorme verliezen kan leiden.
Leave a Reply