Terra区块链曝出被忽视七个月的DeFi漏洞，致9000万美元资金被窃取

育碧 • 2023年9月24日 13:20 • 游戏攻略

一名Terra社区成员意外发现了某个被疏忽七个月的DeFi漏洞，并且得到了BlockSec安全分析师的证实。

2021年10月，DeFi应用程序Mirror Protocol在旧Terra区块链上遭受了9000万美元的攻击损失，但社区直到上周才意识到它的存在。据悉，Mirror Protocol 允许用户使用合成资产，对科技股进行做多或做空。

Mirror Protocol 建立在 Terra 区块链之上，然而在 TerraUSD（UST）稳定币失去与美元的锚定之后，其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。在经历了混乱的几周后，社区投票通过了硬分叉的Terra 2.0以消弭影响，而原始链则倍改名为Terra Classic。

本文提到的漏洞，由Terra社区成员兼分析师FatMan曝光。这对最新推出的 Terra 2.0 区块链，他也是最直言不讳的反对者之一。同时安全公司BlockSec通过分析特定的漏洞利用交易，证实了FatMan的这一发现。

可知每当有人想要在 Mirror 上做空时，其必须将包括UST、LUNA Classic（LUNC）和 mAssets 在内的抵押品锁定至少 14 天。交易结束后，用户可解锁抵押品、并将资产释放回钱包，且所有相关操作都是在智能合约生成的ID号的帮助下完成的。然而由于代码上的Bug，报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。

于是 2021 年 10 月，某个不知名的实体发现了这一漏洞，并借此利用重复 ID 列表来反复解锁数以百倍的抵押品──基本上意味着肇事者能够在没有任何授权的情况下提取资金。后续的区块链记录表明，该实体总共撬走了约9000万美元的资金。然而更让人感到无言以对的是，这一漏洞直到七个月后才被人曝光。通常情况下，为透明起见，计划放都会尽快向公众通报安全事件──即便类似 Mirror Protocol 漏洞的事件相当罕见。