TER:Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析-ODAILY

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

漏洞交易

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

Cosmos將通過Interchain-ATOmic推出原生USDC:10月1日消息，據Cosmos官方推特表示，將利用Interchain Security在Interchain上推出原生USDC。根據公告，Interchain支持原生USDC將使dapp更高效地運行。該網絡還預計穩定幣的推出將推動向Interchain的遷移，并優化流動性。[2022/10/1 22:44:10]

參考：https://forum.mirror.finance/t/another-exploit/3511

攻擊步驟

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

趙長鵬：對Terra團隊處理UST/LUNA事件的方式感到非常失望，為保護用戶暫停其交易:5月13日消息，趙長鵬解釋暫停LUNA和UST交易表示，優先考慮保護用戶。由于Terra協議的設計缺陷，大量新的LUNA被鑄造出來。他們的驗證者已經暫停了整個網絡，導致無法在任何交易所進行存款或取款。部分用戶不知道交易所外有大量新鑄的LUNA，又開始購買LUNA，不知道一旦允許存款，價格可能會進一步暴跌。由于這些重大風險，幣安暫停交易。

此外，趙長鵬稱對Terra團隊如何處理（或不處理）UST/LUNA事件感到非常失望。幣安要求他們的團隊恢復網絡，銷毀額外鑄造的LUNA，并恢復UST掛鉤。到目前為止，幣安還沒有得到任何積極的回應，或者根本沒有太多的回應。這與Axie Infinity形成鮮明對比，Axie Infinity團隊承擔責任，制定計劃并主動與幣安溝通。幣安提供了幫助。

最后，趙長鵬表示，知道社區中存在不同的意見，我們認為暫停交易是目前保護用戶的最佳方式，并將繼續密切關注情況。

此前消息，幣安將于今日16:30暫停LUNA/BUSD，UST/BUSD交易對交易。[2022/5/13 3:14:19]

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

聲音 | Tuur Demeester：比特幣類似2003年的亞馬遜股票，處在后泡沫時代的牛市:在BitcoinExchangeGuide的最新分析文章中，比特幣資本方Adamant Capital的創始人Tuur Demeester把這一情形比喻做“比特幣的后泡沫牛市。”

Demeester將比特幣與亞馬遜股票作比較。亞馬遜股票同樣在1999年的100美元位下跌到2001年的10美元。2003年的互聯網泡沫破滅后，亞馬遜股票從20美元攀升至60美元，又在同年跌到40美元。在其后的四年，亞馬遜漲至100美元，并且在2009年漲至130美元。現在亞馬遜的股票價格是1883.51美元。像亞馬遜一樣，比特幣的價格當然會經歷波動，但是如今的比特幣是一個驚爆價。應當大力買入。[2019/9/8]

ONT官方twitter稱粉絲已超5萬:剛剛Ontology（ONT）官方發推稱，開通twitter賬號六個月以來粉絲已超5萬。ONT現均價5.73美元，跌幅11.39%。[2018/5/29]

漏洞分析

在Terra分叉之后，現在的Terra已分為：

①TerraClassic，LUNA價值0.0001美元。

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

Orion.money昨日提供的LUNA價格

Orion.money今日提供的LUNC價格

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：TERLUNUNATerratera幣錢包LUNRLUNATERRAFORM價格

瑞波幣