A falha foi descoberta acidentalmente por um membro da comunidade Terra na semana passada.
Em outubro de 2021, o protocolo Mirror perdeu US $90 milhões por conta de uma falha na antiga blockchain da Terra, que passou completamente despercebida até a semana passada.
A falha foi descoberta por um analista membro da comunidade Terra chamado “FatMan”, que tem sido abertamente oposto ao lançamento da nova blockchain da Terra.
A BlockSec confirmou que uma falha ocorreu, e que provavelmente passou despercebida por muito tempo porque, até então, menos pessoas estavam procurando por problemas na Terra.
O protocolo Mirror permite que usuários tomem posições longas ou curtas em ações no setor de tecnologia utilizando ativos sintéticos. Sempre que alguém aposta na queda de uma ação no Mirror, essa pessoa precisa bloquear um saldo colateral, de UST ou LUNA Classic (LUNC), por um mínimo de 14 dias.
Após a conclusão da negociação, usuários podem então desbloquear o colateral para liberar os fundos de volta para suas carteiras. Tudo isso é feito com a ajuda de números de identificação gerados por contratos inteligentes.
Entretanto, devido a um bug no código, o contrato do Mirror teoricamente falhou na verificação de pessoas usando a mesma identificação mais de uma vez para retirar fundos.
E assim, em outubro de 2021, uma entidade desconhecida percebeu que poderia usar uma lista de identificações duplicadas para desbloquear repetidamente mais saldo do que tinham de fato. Isso significa que a entidade foi capaz de obter fundos sem qualquer autorização, drenando cerca de US $90 milhões no total, de acordo com os registros da blockchain.
É comum que projetos sejam rápidos em relatar eventos de segurança deste tipo, prezando pela transparência, porém esta falha permaneceu em segredo por 7 meses.
No início deste mês, os desenvolvedores do Mirror resolveram essa vulnerabilidade de forma discreta e silenciosa.
Entretanto, uma semana após o patch, membros da comunidade começaram a se perguntar se poderia ter havido uma falha, e foi aí que começou a varredura de bugs. Ainda não está claro se os desenvolvedores do Mirror sabiam sobre a drenagem ou sobre a falha.
Leia mais: