O Mirror Protocol, uma plataforma de finanças descentralizadas (DeFi) construída na blockchain do Terra, sofreu outra exploração.
De acordo com o usuário @FatManTerra, conhecido por investigar o ecossistema Terra (LUNA), a última exploração supostamente drenou mais de US$ 2 milhões do protocolo. Ou seja, cerca de R$ 9,5 milhões na cotação em reais.
CONFIRA: Cotações das criptomoedas
Ele disse ter analisado uma série de transações para chegar a essa estimativa. Segundo o analista, a exploração poderia continuar e piorar com a abertura do mercado nesta terça feira (31).
Mirror Protocol is being exploited again as we speak, and the devs are completely MIA. So far, the attacker has drained over $2m and counting – the attack will get worse when markets open tomorrow unless the dev team steps in and fixes the price oracle. @mirror_protocol (1/4)— FatMan (@FatManTerra) May 30, 2022
“O Mirror Protocol está sendo explorado novamente enquanto falamos. E os desenvolvedores estão completamente perdidos. Até agora, o atacante drenou mais de US$ 2 milhões e contando. O ataque vai piorar quando os mercados abrirem amanhã. A menos que a equipe de desenvolvimento intervenha e conserte o oráculo de preços.”
O Mirror Protocol permite que os usuários assumam posições compradas e vendidas em ações de tecnologia usando ativos sintéticos.
O protocolo está sendo executado na antiga blockchain Terra – agora chamada de Terra Classic. A “antiga” Terra foi substituída por uma nova rede (“Terra 2.0”) após o colapso da stablecoin UST e da criptomoeda LUNA. Mas, embora tenha sido substituída, a antiga blockchain ainda está em operação.
O Mirror Protocol tem suas próprias versões de outras criptomoedas em pools. E foram justamente esses pools que foram drenados, segundo @FatManTerra.
Detalhes da exploração
Conforme explicou o “detetive de blockchain”, o motivo por trás do exploit foi um bug no oráculo do protocolo. Um oráculo é a maneira como um protocolo coleta dados, inclusive do mundo físico. Nesse caso, os oráculos buscam dados relativos ao preço das ações e certos ativos digitais.
Ele explicou que um bug no oráculo de preços do protocolo estava dizendo ao sistema que o LUNC (antiga LUNA) vale cerca de US$ 5. Mas, na verdade, o preço da criptomoeda está atualmente em US$ 0,0001174.
“Por US$ 1 mil em LUNC, um invasor agora pode alocar US$ 1,3 milhão em garantias. Mas pode retirar ativos reais por meio de empréstimos”, explicou.
No momento em que FatManTerra fez a publicação no Twitter para seus quase 60 mil seguidores, a exploração havia drenado os pools mBTC, mETH, mDOT e mGLXY.
Os pools restantes – como mSPY e mAAPL, mAMZN – estavam, naquele momento, indisponíveis para negociação. Afinal, são vinculados a ações. Mas com a reabertura do mercado poderiam ser explorados.
De acordo com Todd Garrison, fundador do Block Pane – que executa nós validadores em blockchains – o problema deste caso é que a maioria dos validadores que executam nós na cadeia Terra Classic estão executando uma versão desatualizada do oráculo de preços. Por isso, o preço informado de LUNC estava errado.
Mirror Protocol evitou o pior Nesta manhã, @FatManTerra tuitou que o problema maior havia sido evitado. Isso porque “em cima da hora” o Mirror Protocol desativou o uso de mBTC, mETH, mGLXY e mDOT como garantia.
“O atacante não pode mais usar seu dom ilícito para drenar o resto dos pools”, escreveu. “O feed do oráculo foi adiado. Não entrou no pré-mercado aberto como deveria. Por enquanto, o Mirror não foi completamente drenado”, completou.