北京時間2022年5月30日21::46:19,,CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時,總損失約為200萬美元。
此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新,導致價格預言機不準確——報告了LUNA,而非實際的LUNC。
這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。
漏洞交易
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
Cosmos將通過Interchain-ATOmic推出原生USDC:10月1日消息,據Cosmos官方推特表示,將利用Interchain Security在Interchain上推出原生USDC。根據公告,Interchain支持原生USDC將使dapp更高效地運行。該網絡還預計穩定幣的推出將推動向Interchain的遷移,并優化流動性。[2022/10/1 22:44:10]
參考:https://forum.mirror.finance/t/another-exploit/3511
攻擊步驟
該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。
某次交易示例如下:
趙長鵬:對Terra團隊處理UST/LUNA事件的方式感到非常失望,為保護用戶暫停其交易:5月13日消息,趙長鵬解釋暫停LUNA和UST交易表示,優先考慮保護用戶。由于Terra協議的設計缺陷,大量新的LUNA被鑄造出來。他們的驗證者已經暫停了整個網絡,導致無法在任何交易所進行存款或取款。部分用戶不知道交易所外有大量新鑄的LUNA,又開始購買LUNA,不知道一旦允許存款,價格可能會進一步暴跌。由于這些重大風險,幣安暫停交易。
此外,趙長鵬稱對Terra團隊如何處理(或不處理)UST/LUNA事件感到非常失望。幣安要求他們的團隊恢復網絡,銷毀額外鑄造的LUNA,并恢復UST掛鉤。到目前為止,幣安還沒有得到任何積極的回應,或者根本沒有太多的回應。這與Axie Infinity形成鮮明對比,Axie Infinity團隊承擔責任,制定計劃并主動與幣安溝通。幣安提供了幫助。
最后,趙長鵬表示,知道社區中存在不同的意見,我們認為暫停交易是目前保護用戶的最佳方式,并將繼續密切關注情況。
此前消息,幣安將于今日16:30暫停LUNA/BUSD,UST/BUSD交易對交易。[2022/5/13 3:14:19]
由于Terra驗證節點沒有及時更新價格預言機,該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。
聲音 | Tuur Demeester:比特幣類似2003年的亞馬遜股票,處在后泡沫時代的牛市:在BitcoinExchangeGuide的最新分析文章中,比特幣資本方Adamant Capital的創始人Tuur Demeester把這一情形比喻做“比特幣的后泡沫牛市。”
Demeester將比特幣與亞馬遜股票作比較。亞馬遜股票同樣在1999年的100美元位下跌到2001年的10美元。2003年的互聯網泡沫破滅后,亞馬遜股票從20美元攀升至60美元,又在同年跌到40美元。在其后的四年,亞馬遜漲至100美元,并且在2009年漲至130美元。現在亞馬遜的股票價格是1883.51美元。像亞馬遜一樣,比特幣的價格當然會經歷波動,但是如今的比特幣是一個驚爆價。應當大力買入。[2019/9/8]
ONT官方twitter稱粉絲已超5萬:剛剛Ontology(ONT)官方發推稱,開通twitter賬號六個月以來粉絲已超5萬。ONT現均價5.73美元,跌幅11.39%。[2018/5/29]
漏洞分析
在Terra分叉之后,現在的Terra已分為:
①TerraClassic,LUNA價值0.0001美元。
②Terra2.0,其LUNA價格約為5美元。
Mirrorprotocol運行于舊的Terra鏈上,并使用TerraClassic提供的價格預言機服務來確定LUNA價格。
然而,一些驗證者在TerraClassic分叉后并沒有更新他們的軟件,并且報告的是分叉后的LUNA價格而非LUNC的價格。
例如在下方這筆交易中,TerraClassic的驗證節點報告的LUNC價格約為5美元,而不是0.0001美元。
在正常情況下,假如一個用戶想在Mirrorprotocol上進行貸款,他需要提供更多的抵押品以進行借貸,比如提供2萬美元的抵押來借貸1萬美元。
也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押,但如果是使用價值5美元的LUNA,則只需要提供4000枚。
然而,由于一些驗證器已經過時,導致預言機提供了LUNA的價格而非LUNC的價格,攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。
目前,如Orion.money的部分驗證者已修復該漏洞:
Orion.money昨日提供的LUNA價格
Orion.money今日提供的LUNC價格
資產去向
據FatManTerra證明,Mirrorprotocol的損失已達200萬美元。
因價格預言機導致的攻擊事件絕非一例,預言機不應成為鏈上「套利」專用工具。
加密領域安全風險層出不窮,項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查,并及時完善和審計合約代碼。
參考鏈接:
https://twitter.com/FatManTerra/status/1531365988809293825
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
https://forum.mirror.finance/t/another-exploit/3511
https://twitter.com/ChainLinkGod/status/1531384782046711808
https://twitter.com/blockpane/status/1531369644531101696
https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit
通證化所有權和治理是我們努力創造的這個分權未來1的關鍵。該行業將超越簡單可替代的“代幣投票”,此風險在于治理通證的巨鯨持有者占據主導地位。因此,這一領域的創新將大放異彩.
1900/1/1 0:00:00在過去的兩年里,有許多圍繞著Web3和加密貨幣的討論。并且有充分的理由。 作為從Web2.0運動演變而來的一部分,Web3是將互聯網去中心化的運動,使生態系統內的應用程序、網站和服務的訪問民主化.
1900/1/1 0:00:00在我們以上的對話中,Eric和我們非常詳細地分享了GrantDAO和VentureDAO的機制,以及它的一些現狀.
1900/1/1 0:00:00最新數據顯示,截至8月1日,JustLendDAO借貸市場中存款APY最高的是BTT,達到18.56%,其次是WIN和JST,分別達到15.59%、14.32%.
1900/1/1 0:00:00近日,微軟Office中一個被稱為"Follina"的零日漏洞被發現。攻擊者可使用微軟的微軟支持診斷工具,從遠程URL檢索并執行惡意代碼.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00